L’édito de Digitemis, par Ludovic de Carcouët (avril 2022)

Cybersécurité : où est notre responsabilité ?

Dès les années 1970, les entreprises ont engagé un vaste mouvement de développement de leurs écosystèmes. Cela s’est traduit par l’externalisation de leurs coûts, l’amélioration de leurs performances et l’internalisation de leurs bénéfices. Les organisations se sont progressivement recentrées sur leurs cœurs de métiers. Aujourd’hui, du fait de l’augmentation exponentielle du nombre de prestataires, de fournisseurs ou de partenaires, ces organisations sont amenées à redéfinir perpétuellement leurs frontières. 

Le paroxysme de ce phénomène a été atteint avec la numérisation de l’économie : multiplication des partages et des accès distants, nombre pléthorique de fournisseurs, apparition de clouds tentaculaires et insondables. Cartographier les actifs et déterminer les responsabilités de chacun sont désormais des tâches particulièrement ardues. Les raisons de cette dilution des responsabilités sont multiples : méconnaissance des risques, complexité des technologies, contrats génériques non pertinents destinés à encadrer des situations singulières, obsolescence des réglementations à contre-courant de l’agilité des entreprises ou encore primauté du business et de la prise de risques. Même les compagnies d’assurances peinent à quantifier le risque cyber et à éclaircir la chaîne de responsabilités. Nous assistons à un jeu de dupes.

Il est primordial de réussir à créer et à pérenniser des écosystèmes de confiance

Dans cette civilisation de l’entreprise sans frontière, les responsabilités se trouvent donc diluées entre les acteurs de l’écosystème. L’application des principes est souvent floue : les métiers, les prestataires, les décideurs connaissent-ils précisément leurs responsabilités ? Les contrats reflètent-ils la réalité des rôles et des responsabilités ? Qui assume la responsabilité : celui qui externalise, celui qui met en œuvre, celui qui exploite, celui qui héberge ou celui qui surveille ? Deux postures sont possibles : assumer ses responsabilités par la maîtrise de toutes les frontières (ligne Maginot) ou bien coopérer avec des tiers de confiance (certifiés, agréés, qualifiés, audités, …).

Cela ne nous dispense pas d’un devoir collectif de vigilance ni d’intégrer le doute – cette vertu cartésienne – au cœur de notre démarche. Il est primordial de réussir à créer et à pérenniser des écosystèmes de confiance car un allié aujourd’hui est susceptible de se muer en vecteur de fragilités demain. Nous devons choisir de manière éclairée nos prestataires, les données à externaliser et les mesures de sécurité nécessaires. Notre vraie responsabilité consiste finalement à orchestrer la partition de chaque acteur de l’écosystème afin d’éviter toute fausse note. Mais pour cela, nous devons accepter de prendre le temps de la réflexion, d’intégrer la cybersécurité dans les décisions et de diffuser les bonnes pratiques à tous les niveaux de l’entreprise. C’est, il me semble, l’attitude à adopter face à des écosystèmes toujours plus à risques, toujours plus étendus, toujours plus complexes. 

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article