La question n’est plus de savoir si une entreprise sera attaquée, mais quand. Avec l’émergence des nouvelles formes de travail à distance suite à la crise du Covid-19, les cyber-menaces n’ont jamais été aussi nombreuses. Puisqu’elles questionnent les modes de gouvernance, les failles dans la sécurité doivent constituer une priorité pour les dirigeants.
3,5 millions. C’est le nombre de postes à pourvoir en cybersécurité dans le monde d’ici la fin de l’année, selon l’étude Global Digital Trust Insights 2021 menée par PwC. En France, 61 % des dirigeants d’entreprise prévoient une augmentation de leurs effectifs dans ce domaine, en partie suite à la recrudescence d’attaques en ligne dont ils ont fait preuve en 2020. Aucune entreprise n’est, à ce jour, épargnée par les cyberattaques. Et pour cause : la démocratisation du télétravail lors de la crise du Covid-19 a permis aux hackers de sévir sans vergogne. Entre janvier et avril 2020, le volume d’attaques informatiques liés au Covid-19 ont augmenté de 30 000 %, passant de 1200 à 380 000. Il est donc plus que jamais temps de passer à la phase d’acculturation. Une cyber-attaque pouvant potentiellement fragiliser la bonne santé de l’entreprise, surtout si elle est corrélée à une demande de rançon.
Élargir le sourcing de profils
Étant donné le contexte, la cybersécurité challenge les dirigeants sur le volet du recrutement. Jusqu’ici, seules les sociétés spécialisées dans la cybersécurité recherchaient des profils d’experts pour consolider leurs équipes. Aujourd’hui, elles ne se battent plus uniquement entre elles pour dénicher les meilleurs talents. La demande est globale et le terrain de jeu mondial. Or, ces sociétés grandissent de manière exponentielle et leur demande en main d’œuvre est, chaque année, plus importante. Face à une pénurie de profils, l’ensemble des dirigeants (ESN, éditeurs de logiciels, cabinets de conseils, grands groupes, ETI…) doivent se tourner vers des profils provenant de secteurs d’activité différents pour répondre à leurs besoins. Ils ont beaucoup à gagner. S’ouvrir à des spécialistes en cybersécurité issus d’une scale-up est une option intéressante pour un groupe souhaitant insuffler de l’agilité. À l’inverse, s’entourer d’un profil qui a travaillé dans un environnement industrialisé est une stratégie payante pour une start-up visant une hyper-croissance. Quoiqu’il en soit, il n’y a pas de réponse unique et la fiche de poste ne doit pas être le point de départ. L’enjeu est d’étudier plusieurs chemins possibles pour, in fine, recruter le profil qui répondra à l’objectif stratégique de l’entreprise.
Un changement de gouvernance de la sécurité
Si la cybersécurité constitue un défi de taille pour tous les dirigeants, c’est également parce qu’elle apporte son lot de bouleversements sur les plans culturels et organisationnels. Comme toute innovation, celle-ci implique non seulement une acculturation technologique, mais aussi un changement dans les modes de gouvernance. Rattaché à la DSI, le responsable de la sécurité des systèmes d’information (RSSI), qui garantit l’intégrité du système d’information, ne doit plus être le seul à tenir la barre. Le défi de la cybersécurité est davantage systémique et ne peut plus uniquement être abordé sous le seul angle technologique. La culture de la cybersécurité doit sortir du cadre du DSI pour être embrassé par tous les collaborateurs. Personne n’est épargné par ce changement de gouvernance : les sociétés spécialisées dans la cybersécurité doivent, elles aussi, prendre en compte cette tendance. C’est désormais aux dirigeants d’entreprise, et non plus uniquement à leurs RSSI, auxquels elles s’adressent. Elles deviennent désormais partenaires business de leurs entreprises clientes et non plus des fournisseurs IT.
Les experts de la cybersécurité s’invitent au Comex
Pour relever l’ensemble de ces défis, les dirigeants ont tout intérêt à positionner les experts de la cybersécurité au rang adéquat dans leur organisation. Pour que la cybersécurité s’impose davantage dans la stratégie globale de l’entreprise, les membres du Comex doivent comprendre la transformation nécessaire de leur entreprise afin de se préparer aux risques de cyberattaques. Tout comme ils ont dû, par le passé, comprendre les risques de décrochage pour leur entreprise s’ils n’appréhendaient pas la transformation digitale.
|
Devenir « cyber-responsable », c’est…
– Ne pas se cantonner à la quête de nouvelles compétences en cybersécurité – Considérer la cybersécurité comme un enjeu culturel et organisationnel – Miser sur son âme d’entrepreneur en transformant le danger en innovation – Faire preuve d’une intelligence de l’économie de marché – Manager le changement, dans un environnement en perpétuel renouveau – Faire le choix de partenaires de confiance en cybersécurité qui vous aideront à vous acculturer
|
Franck Pasquet, Directeur associé d’Arrowman Executive Search, en charge des practices Digital, Marketing et Médias.
