Lorsque notre directeur et responsable de la stratégie de sécurité, Jorien Decroos, est intervenu récemment lors de l’événement annuel d’Agoria|Sirris, il a abordé un sujet qui suscite souvent la désaffection des chefs d’entreprise : la cybersécurité. Au lieu de présenter une autre perspective sombre sur les pirates russes et les listes de contrôle de conformité, elle s’est concentrée sur le « piratage » des mythes dangereux qui rendent les entreprises vulnérables.
À l’adresse Approach Cyber, nous sommes régulièrement confrontés au décalage entre la réalité de la cybersécurité et la perception qu’en ont les entreprises. Lorsque la « cybersécurité » figure à l’ordre du jour d’une réunion, la plupart des cadres ne sont pas vraiment enthousiastes. La pensée commune reste la suivante : « C’est le problème du département informatique, pas le nôtre ».
Mais voici ce que nous avons observé chez nos clients : alors que les chefs d’entreprise considèrent la cybersécurité comme l’affaire de quelqu’un d’autre, les cybercriminels, eux, gagnent sérieusement de l’argent. Et de plus en plus, c’est l’argent de nos clients qu’ils visent.
La réalité est que la cybersécurité a évolué bien au-delà d’un problème informatique. Elle est devenue un enjeu commercial fondamental qui a un impact direct sur la croissance, la réputation et l’avantage concurrentiel. Pourtant, de nombreuses organisations continuent d’entretenir des idées fausses qui pourraient s’avérer catastrophiques.
Le premier mythe dangereux : « La cybersécurité n’est qu’un problème informatique ».
Cette idée fausse est omniprésente dans les organisations de toutes tailles. Elle semble logique : engager des professionnels de l’informatique compétents, acheter des logiciels de sécurité, cocher la case « conformité » et se concentrer sur les « vrais » problèmes de l’entreprise.
Mais cette façon de penser a failli tout coûter à des entreprises comme Sea-Invest. Lorsqu’elle a été touchée par un ransomware en 2022, l’attaque n’a pas seulement affecté son infrastructure informatique. L’ensemble de leurs opérations portuaires mondiales – responsables du transport de 150 millions de tonnes de marchandises par an – ont été complètement paralysées.
Les répercussions ont été immédiates et de grande ampleur. Colruyt est soudain confronté à la perspective de rayons vides. Les importations de fruits par Anvers ont été interrompues. Les terminaux pétroliers ont dû revenir à des processus manuels qui n’avaient pas été utilisés depuis des décennies. Il ne s’agissait plus d’un incident informatique, mais d’une véritable crise de continuité des activités qui affectait des chaînes d’approvisionnement entières.
Ce que nous avons appris au cours de nos années de conseil, c’est ceci : Les équipes informatiques peuvent prendre en charge les systèmes, mais c’est sur eux que fonctionnent les entreprises. Lorsque ces systèmes tombent en panne, ce n’est pas le service informatique qui doit expliquer aux clients frustrés pourquoi leurs commandes sont bloquées dans les limbes numériques.
La vérité, c’est que la cybersécurité n’est pas une question de pare-feu et de logiciels antivirus. Il s’agit d’assurer la continuité de l’activité demain, la semaine prochaine et l’année prochaine. Il s’agit de protéger les fondations sur lesquelles tout le reste est construit.
Le deuxième mythe : « Les gens sont le maillon le plus faible ».
Ce discours domine les discussions dans les salles de réunion. Oui, il est vrai que la grande majorité des cyberattaques réussies commencent par une erreur humaine : quelqu’un clique sur un lien suspect, télécharge un faux CV ou se laisse convaincre par un courriel d’hameçonnage. Il est facile de blâmer la nature humaine et de passer à autre chose.
Mais ce raisonnement passe à côté d’une opportunité cruciale : les personnes ne sont pas seulement des vulnérabilités. Avec un investissement approprié, ils deviennent la couche de défense la plus solide.
Les chiffres sont éloquents. La formation à la sensibilisation à la sécurité coûte environ le prix d’un dîner d’affaires ou d’une escapade d’un week-end par employé et par an. Comparez cela à la violation moyenne de données, qui coûte plus cher que la maison de la plupart des gens.
Les organisations qui investissent dans des programmes de formation complets obtiennent des résultats remarquables. Les taux de clics de phishing passent d’environ un tiers des employés à moins de 5 %. Mais la véritable transformation se produit lorsque des employés bien formés cessent d’être des destinataires passifs des politiques de sécurité et deviennent des participants actifs dans la détection des menaces.
Nous avons observé cette transformation chez tous nos clients. Lorsque les employés comprennent leur rôle dans la cybersécurité et se sentent habilités à agir, ils deviennent incroyablement efficaces pour repérer et arrêter les menaces avant qu’elles ne causent des dommages. Les taux de signalement des courriels suspects passent de pratiquement zéro à des niveaux réellement impressionnants.
La leçon est claire : les personnes ne sont pas le maillon faible. Ce sont les personnes non formées qui le sont. Il y a une différence cruciale, et combler ce fossé pourrait sauver votre entreprise.
Le troisième mythe : « Nous sommes trop petits pour être ciblés ».
C’est peut-être le mythe le plus dangereux qui soit. Lors d’innombrables consultations avec des clients, nous entendons des variantes de ce mythe : « Nous ne sommes pas intéressants », « Les pirates ont des cibles plus importantes », « Nous n’avons rien de précieux ».
Mais considérez ceci : chaque entreprise possède de l’argent, des données clients et des opérations qu’il serait très problématique de perdre. C’est exactement ce que recherchent les cybercriminels.
Ce que de nombreux chefs d’entreprise ne réalisent pas, c’est que les pirates informatiques ne choisissent pas toujours avec soin des cibles individuelles. Ils lancent des attaques automatisées, jetant de vastes filets pour voir ce qu’ils attrapent. Si les défenses sont faibles, les petites organisations deviennent des cibles de choix.
L’inconfortable vérité est que la petite taille n’est pas synonyme d’invisibilité, mais de vulnérabilité. Les petites et moyennes entreprises disposent souvent de données précieuses mais de ressources limitées en matière de sécurité. Elles sont connectées à des chaînes d’approvisionnement plus importantes mais disposent de moins de défenses. Du point de vue d’un cybercriminel, elles représentent l’opportunité parfaite.
Nous avons vu des administrations municipales, des hôpitaux locaux et des entreprises familiales être victimes de cyberattaques. Les attaquants n’évaluent pas la taille de l’entreprise ; ils évaluent la vulnérabilité et le retour sur investissement potentiel.
La taille n’a pas d’importance pour les cybercriminels. C’est la vulnérabilité qui compte. Les organisations ne peuvent pas se permettre de confondre taille et sécurité.
Ce qui est vraiment en jeu : Au-delà de la perte financière
Lorsque l’on évoque les risques de cybersécurité avec des chefs d’entreprise, les conversations portent souvent sur l’impact financier. Les chiffres font en effet réfléchir : une violation de données coûte en moyenne 4,5 millions d’euros dans le monde, et les incidents de moindre importance coûtent entre 200 000 et 500 000 euros.
Mais les difficultés financières ne représentent que le début des problèmes.
Depuis que la Belgique a mis en place le NIS2, les administrateurs sont désormais personnellement responsables des défaillances en matière de cybersécurité. Il ne s’agit pas d’une responsabilité d’entreprise dont les coûts sont couverts par l’assurance de la société, mais d’une responsabilité personnelle qui peut affecter les actifs individuels et la réputation professionnelle.
Le paysage des affaires s’est considérablement modifié. Dans les discussions sur les fusions et acquisitions, la cybersécurité entre en ligne de compte dans l’évaluation de 96 % des transactions. Les compagnies d’assurance réduisent les primes pour les entreprises bien protégées, alors qu’elles augmentent considérablement les tarifs pour celles qui ne disposent pas de protections adéquates. Les organisations dotées de solides mesures de sécurité affichent des taux de fidélisation de la clientèle deux fois supérieurs à ceux de leurs concurrents moins bien protégés.
Le plus frappant, c’est que la cybersécurité est devenue un facteur de différenciation concurrentielle. Les entreprises qui adoptent une approche stratégique ne se contentent pas d’éviter les catastrophes, elles se positionnent comme des entreprises auxquelles les clients font confiance, que les partenaires préfèrent et que les investisseurs apprécient davantage.
Cette évolution représente un changement fondamental dans la manière dont les organisations doivent envisager la cybersécurité.
Il ne s’agit plus d’éviter les catastrophes, mais d’obtenir un avantage concurrentiel dans une économie de plus en plus numérique.
Bien faire les choses : La qualité plutôt que les solutions rapides
Les organisations prêtes à prendre la cybersécurité au sérieux doivent s’engager à le faire correctement.
La réaction immédiate est souvent : « Mais la cybersécurité coûte cher ! » La réponse devrait être : « Ne pas disposer d’une cybersécurité adéquate lorsque vous en avez besoin est bien plus coûteux » : « Ne pas disposer d’une cybersécurité adéquate lorsque vous en avez besoin est bien plus coûteux ».
Trop d’organisations tentent de faire des économies avec des solutions de sécurité au rabais. C’est comme l’achat d’un équipement de sécurité au rabais : il semble financièrement prudent jusqu’à ce qu’il tombe en panne au moment où l’on en a le plus besoin. Une cybersécurité de qualité nécessite un investissement de qualité.
Une cybersécurité efficace exige des investissements dans trois domaines essentiels : la bonne technologie, les bons processus et les bonnes personnes.
L’idée maîtresse est qu’une sécurité efficace s’intègre dans l’ensemble des activités de l’organisation. Elle fait partie des habitudes quotidiennes des employés, de la configuration des systèmes et de la planification de la continuité des activités. Lorsqu’elle est abordée de cette manière, la cybersécurité cesse d’être une dépense supplémentaire et devient un avantage concurrentiel qui permet une croissance et une innovation confiantes.
Aller de l’avant : Du mal nécessaire à l’atout stratégique
Pour que la cybersécurité ne soit plus considérée comme un centre de coûts, mais comme un moteur de l’activité économique, il faut d’abord que les dirigeants changent de mentalité au sein de l’organisation.
Les entreprises qui considèrent la cybersécurité comme un investissement stratégique affichent systématiquement des valorisations plus élevées, une plus grande fidélité des clients et une meilleure résilience opérationnelle. Celles qui continuent de fonctionner selon le paradigme du « problème informatique » sont confrontées à des menaces de plus en plus existentielles provenant d’attaquants sophistiqués, de réglementations strictes et d’un désavantage concurrentiel.
La prochaine fois que la cybersécurité sera évoquée dans les discussions au sein de l’organisation, les dirigeants ne devront pas penser « problème informatique » ou « mal nécessaire ». Pensez plutôt : opportunité commerciale, avantage concurrentiel, protection de la marque.
La cybersécurité doit être considérée comme le fondement qui permet une innovation sans crainte et une croissance confiante dans un monde de plus en plus numérique.
Les organisations se trouvent à un tournant décisif. La combinaison de menaces croissantes, de réglementations strictes et d’opportunités sans précédent signifie que les entreprises qui agissent de manière décisive prospéreront dans l’économie numérique. Celles qui continuent à tarder s’exposent non seulement à des pertes financières, mais aussi à la faillite potentielle de leur entreprise.
Dans le monde interconnecté d’aujourd’hui, où une infection par un logiciel malveillant en sept minutes peut détruire des opérations mondiales, la cybersécurité n’est pas facultative, c’est le fondement de la survie des entreprises modernes.
Les mythes évoqués ici, à savoir que la cybersécurité n’est qu’un problème informatique, que les personnes sont le maillon faible, que les petites entreprises ne sont pas des cibles, ces idées fausses coûtent littéralement des millions aux entreprises et menacent leur existence même.
Il est temps que les organisations cessent de faire du bricolage et commencent à s’attaquer directement à ces mythes dangereux. Car lorsque les entreprises ont une véritable longueur d’avance en matière de cybersécurité, elles ne se contentent pas de protéger leur activité : elles assurent leur avenir, dès aujourd’hui.
________________________________________
À Approach Cyber, nous comblons le fossé entre la stratégie commerciale et la mise en œuvre de la cybersécurité. Notre équipe, dirigée par des experts comme Jorien Decroos, aide les organisations à transformer la cybersécurité d’un centre de coûts en un avantage concurrentiel. Contactez-nous pour découvrir comment un investissement stratégique dans la cybersécurité peut générer de la valeur pour l’entreprise tout en protégeant ce qui compte le plus.
