A l’ère du tout numérique, lorsque l’on pense aux priorités des dirigeants, on a tendance à se focaliser sur la croissance, la transformation numérique, la sécurité ou, plus récemment, s’assurer que les télétravailleurs puissent poursuivre leurs opérations. Pour Nicolas Petroussenko, DG France d’Okta, tous ces aspects sont en effet importants pour la rentabilité et l’image des entreprises, rester à la pointe de l’innovation, satisfaire ses actionnaires, ses clients, et faire en sorte que ses employés travaillent dans les meilleures conditions. Pourtant, dans un monde absorbé par la technologie et l’informatique, chacune de ces priorités repose sur un même élément : la confiance numérique. Sans elle, l’entreprise tout entière serait paralysée, voire pire encore.
La confiance numérique est un concept qu’aucun dirigeant ne peut plus ignorer aujourd’hui. Une part croissante des activités repose – parfois exclusivement – sur le système d’information de l’entreprise. La plupart des professionnels travaillent en ligne, aussi bien pour promouvoir et vendre leurs biens et services, que pour réaliser l’ensemble des fonctions essentielles de back-office, ou encore s’intégrer avec le système d’information de leurs partenaires et fournisseurs.
Cette notion de confiance numérique est devenue un élément essentiel de la pérennité des opérations d’une entreprise ! Aujourd’hui, les dirigeants sont assez bien informés des nouveaux risques de cyberattaques et ont souvent augmenté les budgets et équipes expertes pour adresser ces sujets qu’ils maîtrisent encore assez mal.
Les attaques malveillantes dont ils ont parfois été victimes ainsi que les incidents parfois dramatiques relatés quotidiennement par la presse, les obligent à prendre le problème à bras le corps. La plupart de ces entreprises essaient de se protéger contre ces nouveaux risques, mais peu d’entre elles ont amorcé le virage de la confiance numérique. Autrement dit, la question n’est peut-être pas uniquement d’identifier et traiter les risques cyber auxquels une entreprise est exposée (ils sont très nombreux) que de mettre en place les instruments de la confiance. Il s’agît là des processus et outils permettant de travailler en toute confiance aussi bien dans ses relations à son écosystème qu’en interne ! Finalement, la confiance n’est-elle pas le ciment de toute relation professionnelle pérenne ?
Les fondamentaux de la confiance dans un contexte de cybersécurité en pleine évolution
La notion de confiance est intangible, et repose sur quatre grands piliers : la fiabilité, la sincérité, l’aptitude et la réputation. Avant de se fier à quelqu’un ou à quelque chose, nous cherchons tous à avoir l’assurance que celui ou celle-ci honorera ses promesses, est sincère, capable d’accomplir sa mission, et jouit d’une bonne réputation. C’est exactement les mêmes mécanismes en œuvre dans le monde professionnel ! Or, du fait notamment de la pandémie ces derniers mois, nous avons assisté à au moins deux bouleversements dans cette équation de confiance :
1- Le basculement massif et inédit des organisations vers le télétravail
2- L’accélération de la mise en ligne de nouveaux services
Le basculement massif en télétravail amène avec lui son lot de nouveaux challenges du point de vue de la confiance numérique, notamment connaître en permanence les employés, partenaires, sous-traitants qui sont légitimes pour accéder aux données et systèmes depuis un lieu de travail qui n’est plus le bureau, et depuis un terminal qui n’est plus nécessairement celui de l’entreprise.
De la même manière, l’accélération de la mise en ligne de nouveaux services pour ses partenaires d’affaires et clients amène avec elle son lot de nouveaux challenges du point de vue de la confiance numérique et notamment connaître en permanence les partenaires, les clients qui sont légitimes pour accéder aux données et systèmes des services proposés. Avec en prime, quelques contraintes réglementaires qui rendent l’exercice encore plus nécessaire : RGPD, DSP2, etcetera !
L’ensemble de ces acteurs doivent avoir confiance en la capacité des organisations à protéger leurs données notamment personnelles. Et aujourd’hui, ce n’est pas encore le cas ! Les dirigeants eux-mêmes savent bien que, malgré les investissements réalisés, ils ne sont pas à l’abri d’un incident cyber parfois majeur ! L’employé, le client, le partenaire, le consommateur sait aussi que ses données peuvent être volées, corrompues ou pire encore mises en ligne par des protagonistes malveillants !
Alors comment passer d’une logique de peur à une logique de confiance ?
Personne ne craint de mettre ses enfants à l’école. Nous avons confiance dans le fait qu’il ne leur arrivera rien si ce n’est des incidents souvent mineurs et parfaitement gérés par l’institution. Pourquoi l’école nous inspire-t-elle confiance au point que nous y déposions chaque matin, et en toute quiétude, ce que beaucoup d’entre nous considérons comme “ce que nous avons de plus précieux ”, nos enfants ?
La réponse est assez simple : nous savons d’une part que l’absence d’instruction pour un enfant est une perte de chance considérable dans sa vie, et nous savons d’autre part que l’école gère des millions d’élèves chaque année depuis des décennies en toute sécurité.
D’autres parallèles similaires peuvent être effectués : pourquoi confions-nous notre argent et nos avoirs aux banques et autres institutions financières ? Simplement parce que ces dernières – malgré tout – ont toujours su inspirer confiance, aussi bien pour protéger nos actifs que pour les faire fructifier.
Pour une entreprise, ne pas se protéger suffisamment contre les menaces cyber est – de la même façon – non seulement un risque devenu trop important mais aussi une perte de chance dans ses activités. Dans ce monde hautement numérisé, il est vital d’inspirer la confiance, d’abord en échappant à toutes les mauvaises publicités induites par des attaques réussies, et ensuite en expliquant de manière suffisamment transparente les mesures de sécurité mises en place. Pour ce faire, plus d’autres choix que de mettre en œuvre les instruments de la confiance…et les dirigeants, s’ils l’ont bien perçu, n’en ont pas encore pris toute la mesure.
Ainsi, la mise en place d’outils et de politiques de sécurité efficaces, notamment ceux permettant de gérer de façon transparente les identités et accès des utilisateurs (plus de 80% des brèches de sécurité), contribue à inspirer confiance aux parties prenantes. En outre, les organisations ayant mis en place des politiques de sécurité efficaces ont ainsi l’assurance de limiter les accès à leurs systèmes au strict nécessaire. Cette approche est précisément ce à quoi la notion de confiance numérique fait référence. Certaines entreprises ayant mis en place ces systèmes en font même un élément central de leur communication ! Elles ont parfaitement compris le besoin de confiance de leur écosystème et en interne.
Comment cultiver la confiance numérique grâce à des politiques de sécurité
Les dirigeants et responsables informatiques doivent faire preuve de transparence quant aux mesures de cybersécurité qu’ils mettent en œuvre pour obtenir la confiance et l’adhésion de leurs clients, partenaires et salariés.
Lors des périodes de confinement, nous avons assisté à une recrudescence des cyberattaques, les cybercriminels tentant en effet de tirer parti d’une plus grande exposition des entreprises et salariés aux risques cyber. Ainsi, le rapport de 2020 sur le phishing et la fraude de l’éditeur F5 fait état d’une hausse de 220% des attaques par phishing lors de la pandémie par rapport à la moyenne annuelle.
En outre, selon l’indice Digital Trust Index d’Okta, 34% des répondants ignorent si leur employeur a pris la moindre mesure afin de les protéger des cybermenaces. En d’autres termes, les entreprises doivent faire plus pour communiquer et sensibiliser leur personnel.
Tout ceci est problématique pour les dirigeants : l’incertitude des utilisateurs quant aux mesures de cybersécurité mises en place expose en effet l’entreprise à des risques plus élevés. Si les employés ignorent ce qui est protégé ou pas par les plateformes de sécurité de leur organisation, ils seront incapables de respecter les meilleures pratiques de “cyber hygiène”, et auront donc plus de mal à identifier les problèmes auxquels ils seront confrontés. Les dirigeants doivent donc améliorer leur communication avec leurs employés pour s’assurer que ces derniers soient bien informés des mesures prises par leur organisation.
Ce qui est vrai pour ses salariés l’est encore plus pour ses clients. Encore trop peu d’entreprises ont mis en place une communication proactive et régulière auprès de leurs clients sur les mesures de cybersécurité qu’elles mettent en place. Dans le B2B, les clients demandent toujours plus de droits d’audits notamment sécuritaires à leurs fournisseurs en particulier sur leur infrastructure et système d’information. La meilleure façon de limiter cette escalade légitime de demandes d’audit est d’être transparent et proactif avec ses clients ! Dans le B2C, beaucoup de gens sont encore réticents à enregistrer des informations personnelles ou encore des moyens de paiement sur les sites marchands car ils n’ont pas encore assez confiance dans la sécurité proposée par le marchand. Combien d’opportunités et de chiffre d’affaires perdus par ces sites marchands par manque de confiance numérique !
L’importance de la sensibilisation
La sécurité sera toujours le premier facteur de confiance. Il est essentiel que les employés, les partenaires et les clients se sentent à l’aise à l’idée de partager leurs données. Et pour cultiver un tel climat de confiance, il faut les sensibiliser.
Les cybermenaces évoluent constamment, les pirates employant régulièrement de nouvelles astuces et méthodes. Les dirigeants doivent faire de la sensibilisation un processus constant. Avec le basculement massif vers le télétravail, beaucoup d’employés sont désormais plus conscients des menaces que représentent le phishing, les fuites/violations de données ou les nouveaux risques tels que les deepfakes. Mais les entreprises doivent également s’assurer de conserver autant d’avance que possible, afin de faire face à ces nouvelles menaces à l’aide de nouvelles approches, tout en instaurant un dialogue constant avec leurs salariés et clients.
Cela passe par l’adoption d’une approche Zero Trust, dont le principe est de valider les identités avant de faire confiance à qui que ce soit dans l’environnement numérique. La stratégie ultime consiste à placer l’identité au centre de la sécurité et confiance numérique, et à s’appuyer sur des politiques de gestion des accès en continu, en fonction des risques, des technologies et des contextes d’authentification. En d’autres termes, aucun accès ne doit être accordé au moindre utilisateur sans validation absolue et préalable de son identité. Tandis que les entreprises progressent vers cette cible, il est essentiel que les utilisateurs soient tenus au courant de l’évolution des politiques de cybersécurité mises en place. Cette approche permettra d’aboutir à une meilleure compréhension globale, et à une meilleure adhésion aux principes de fiabilité, de sincérité, d’aptitude et de réputation au centre de l’idée même de confiance numérique. Utilisée correctement, cette confiance de la part des employés, partenaires et clients permettra de limiter les dégâts, et représentera à terme un plus en matière de fidélisation, de résultats et de valeur pour les organisations.
Qu’ils en soient conscients ou pas, la confiance numérique contribue à chacune des priorités des dirigeants, et continuera à gagner en importance à mesure que nous nous aventurons dans le monde du numérique.