Longtemps perçue comme un coût, la cyber-sécurité est devenue une composante stratégique qui dépasse largement la sphère de l’informatique. Une attaque informatique peut exposer les informations confidentielles de l’entreprise à la concurrence, remettre en cause le bon fonctionnement des processus, mais également causer de graves conséquences financières.

Faute d’avoir corrigé une faille informatique, l’agence d’évaluation de crédit Equifax a ainsi laissé fuiter les informations confidentielles de 145 millions de clients américains. Seulement une semaine après l’annonce de son piratage, le cours de l’action d’Equifax avait chuté de près de 35%.

Si les conséquences d’un piratage de cette ampleur sont souvent dramatiques pour l’entreprise, la bonne nouvelle est qu’une stratégie de défense appropriée peut également se transformer en avantage concurrentiel. « Il faut changer notre regard sur la cybersécurité, et l’intégrer dans la stratégie de l’entreprise très en amont » note Manuel Bissey, responsable de l’activité Cybersécurité chez DXC Technology pour l’Europe du Sud.

La cybersécurité pour se démarquer de la concurrence

« Les normes de sécurité telles qu’ISO 27001 ont de plus en plus de poids aux yeux des actionnaires » poursuit Manuel Bissey. « Le degré de maturité de l’entreprise vis-à-vis de la cybersécurité, les mécanismes de défense mis en œuvre, les procédures de contrôle sont désormais des éléments stratégiques qu’il faut être capable de mettre en avant ».

Comme toutes les autres normes de systèmes de management de l’ISO, la certification ISO/IEC 27001 (la norme internationale pour le management de la sécurité de l’information) est une option, mais pas une obligation. Certains utilisateurs décident de mettre en œuvre la norme simplement pour les avantages directs que procurent les meilleures pratiques. D’autres s’appuient sur cette certification pour prouver à leurs clients qu’ils suivent les recommandations de la norme. Dans les deux cas, cette approche permet de justifier sa conformité à des pratiques reconnues et partagées à l’échelle mondiale et de donner un certain niveau d’assurance aux partenaires commerciaux tout en abordant le thème de la sécurité de façon proactive avec les clients potentiels.

« Security by design » : vers une approche proactive de la cybersécurité

Une intégration en amont de la cybersécurité combinée à une approche proactive fondée sur des standards tels qu’ISO 27001 réduit la charge des audits clients prévus contractuellement et génère des économies. « Appréhender les risques en amont permet surtout d’investir là où le risque existe réellement », souligne Manuel Bissey. « De plus, on remarque que l’intégration des risques à la naissance du projet réduit nettement le coût de la cybersécurité ».

Cette approche dite « Security by design » implique d’inclure la sécurité dans l’infrastructure au plus bas niveau et de faire en sorte que les développeurs et autres architectes la prenne en compte dès la conception des applications et infrastructures. C’est en opérant ce changement de mentalité que la cybersécurité deviendra un axe de développement plutôt qu’un centre de coût.