C’est ainsi que Jean-François Pépin, délégué-général du CIGREF qualifie l’enjeu et le défi de la cybersécurité pour les organisations. Une manière d’attirer l’attention, voire de tirer le signal d’alarme sur cet aspect essentiel mais encore trop négligé du management à l’ère du numérique. Entretien sous l’angle de la formation des étudiants et des dirigeants sur cette menace aussi « invisible » que redoutable pour les entreprises, à l’heure où se termine le mois de la cybersécurité.
Jean-François Fiorina : pouvez- vous décrire, en préambule, le CIGREF et ses missions ?
Jean-François Pépin : c’est une association qui compte aujourd’hui 140 grandes entreprises et quelques organisations du secteur public telles que des Ministères (Bercy ; Défense ; Intérieur) mais également la CNAF ; CNAV ; Conseil d’Etat, etc. Ce n’est pas une association de DSI contrairement à ce que l’on dit souvent, mais une association de personnes morales, créée il y a 45 ans, par des dirigeants à la fois conscients et inquiets de l’irruption de l’informatique au sein des entreprises.
À cette époque, beaucoup en était encore à la mécanographie ! Et donc ce risque, enfin ce qui était présenté comme un risque pour les grandes entreprises françaises, a engendré la création du CIGREF pour discuter de ce que l’informatique de gestion allait modifier dans les modes de management et la compétitivité des entreprises.
« Notre mission est aujourd’hui, de faire réussir le numérique au sein des grandes entreprises. »
Le CIGREF a évolué tout au long de ces années, traitant au départ de l’informatique, puis de l’usage des systèmes d’information et enfin en 2010 de la culture numérique et de son impact sur les organisations. Nous avons été les premiers à qualifier et décrire l’entreprise numérique, une anticipation forte de notre organisation.
Dans le cadre de notre plan stratégique CIGREF 2020, nous avons exprimé une conviction forte : le numérique est une chance pour le développement de l’économie française. Et que les grandes entreprises sont largement au cœur de cette réussite. Notre mission est donc, aujourd’hui, de « Développer la capacité des Grandes Entreprises à intégrer et maitriser le numérique ».
Jean-François Fiorina : que vient faire la cybercriminalité dans cette stratégie ?
Jean-François Pépin : On se souvient de ce qui est arrivé à TV5, et on se rappelle les vols de données chez Target qui ont d’ailleurs couté sa place à son PDG Gregg Steinhafel. Dès lors, notre conviction est la suivante : il n’y aura pas de réussite du numérique sans prise en compte des différents aspects de la sécurité. Aujourd’hui, non seulement les dirigeants, les conseils d’administration et les comités de direction mais également les Administrateurs sont mobilisés sur ces questions. Tous comprennent qu’avec l’irruption du numérique et l’ouverture de l’entreprise aux clients, il y a des risques nouveaux et que, face à ces risques, il faut se mobiliser et prendre un certain nombre de mesures.
Dès lors, il est important d’agir à la fois sur la sensibilisation des dirigeants et des collaborateurs, mais aussi sur la mobilisation des clients finaux de nos grandes entreprises, c’est-à-dire le grand public. Les dernières actions menées par le CIGREF dans le domaine correspondent exactement à cette conviction.
« Il n’y aura pas de réussite du numérique
sans prise en compte des différents aspects de la sécurité. »
- Nous avons réalisé avec Futuribles international, une étude systémique et prospective dénommée « Entreprises et Cyber sécurité à 2020 ». Elle nous a permis d’identifier et d’étudier les principales variables susceptibles d’avoir une influence cruciale pour l’avenir de la cybersécurité des entreprises,
- Ensuite, nous avons développé un serious game « Keep an Eye out » pour sensibiliser nos collaborateurs, au travers de 5 scénarios. Il est actuellement en déploiement dans près de 50 entreprises, avec plus de 10 000 joueurs en ligne.
- Nous organisons également avec l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ) une formation pour les dirigeants à la « sécurité des usages numériques».
- Enfin, Nous sommes fiers d’avoir pris l’initiative d’une campagne de sensibilisation grand public baptisée « La Hack Academy » qui s’inscrit dans le cadre du « mois européen de la Cybersécurité ». L’angle choisi pour cette campagne est l’humour, axé sur la parodie d’une émission de téléréalité et appuyée sur un stéréotype évocateur pour tous : celui du dangereux hacker ! « La Hack Academy » met à l’épreuve 4 candidats au titre de « hacker de demain », offrant ainsi une mise en scène très réaliste de 4 cyber risques emblématiques.
Jean-François Fiorina : vous pensez que c’est la bonne façon de former et de sensibiliser ?
Jean-François Pépin : en 2013, c’était effectivement une originalité au sein des entreprises d’aller au-delà des fiches pratiques et ou chartes d’usage pour bien utiliser les systèmes d’information.
Aujourd’hui, nous irions, peut-être vers d’autres outils comme les MOOCs, mais en tout cas le serious game est un formidable exercice de mobilisation et d’attention des collaborateurs. C’est à la fois moderne, à la fois ludique, pédagogique puisque le joueur peut s’auto-évaluer.
Jean-François Fiorina : on peut pirater des données ? ;=))
Jean-François Pépin : Oui, bien sûr ! ;=))
Jean-François Fiorina : quelques infos sur ce mois de la cybersécurité au niveau européen ? C’est aussi une préoccupation de vos homologues.
Jean-François Pépin : Oui bien sûr, d’ailleurs nous souhaitons que l’Europe soit plus attentive à ces préoccupations. Le premier ministre a présenté la politique de cybersecurité de la France qui place notre pays assez en avance grâce aux travaux de l’ANSSI. Il faut que l’Europe se saisisse plus âprement du sujet.
Jean-François Fiorina : vous avez parlé de nouvelles menaces, est-ce indiscret de vous demander celles que vous avez identifiées jusqu’en 2020 ?
Vingt-deux variables ont été jugées déterminantes pour appréhender les futurs possibles de la cybersécurité des entreprises. Ces variables relèvent de trois composantes principales : « Menaces », « Vulnérabilités et opportunités » et « Environnement extérieur ».
Ces différentes variables et les scénarios intermédiaires construits sur chacune des trois composantes mettent en avant le caractère de plus en plus stratégique du cyberespace pour les entreprises. La volonté d’offrir un spectre large d’étude, depuis l’évolution géographique d’Internet jusqu’aux solutions de gestion de l’identité numérique, si elle rend l’analyse plus complexe, offre également un panorama global et systémique des évolutions du cyberespace, traduit, in fine, en six scénarios d’ensemble.
Comme vous le savez ces scénarios sont maintenant à adapter et à suivre, entreprise par entreprise. Il va de soi qu’une entreprise qui est fortement impliquée dans certains pays à risques présente des caractéristiques d’exposition au cybercrime ou aux cybermenaces plus fortes… Les 6 scénarios sont assez typés pour que des dirigeants ou un conseil d’administration réfléchissent à la question : A quoi notre Entreprise sera-t-elle demain exposée ?
Jean-François Fiorina : la transformation numérique passera donc par la maitrise de la cybersécurité. Comme nous formons de futurs managers et de futurs chefs d’entreprise : quel serait votre « bon de commande » ou vos souhaits comme représentant d’entreprises ?
Jean-François Pépin : vous avez un rôle éminent d’abord parce que nous savons que les jeunes qui utilisent aujourd’hui les outils informatiques sont assez ignorants de ces risques. D’abord parce que personne ne les informe et je dirais qu’une école de management comme la vôtre devrait à la fois s’intéresser au « comment » sommes-nous préparés les uns et les autres à la prise en compte de ces risques ? Mais également à inscrire dans les programmes de stratégie et de management des entreprises les nouveaux enjeux et défis de l’entreprise numérique à 2020 au sein desquels figure celui de la gestion des risques.
« Tout dirigeant est responsable de ce qu’il choisit d’ignorer ».
On ne peut plus passer cette dimension sous silence. Aujourd’hui, comme je l’ai indiqué précédemment, c’est d’actualité au sein des Comex, des Codirs, et même des Assemblées générales d’actionnaires : quels risques nouveaux créons-nous pour l’entreprise ? Certes, il y a des aspects légaux, par exemple, qui pèsent aujourd’hui sur la responsabilité du dirigeant, mais de manière plus générale, cela devrait faire partie de la « panoplie obligatoire » de la formation de tous les dirigeants. J’ai une expression que j’utilise souvent dans mon blog, « tout dirigeant est responsable de ce qu’il choisit d’ignorer ! ». Plus aucun dirigeant ne peut ignorer aujourd’hui cette dimension et ces risques nouveaux.
Jean-François Fiorina : ce sont des cursus complets que nous devrions faire ou certaines choses dont déjà en place ?
Jean-François Pépin : je ne suis pas spécialiste de l’ingénierie pédagogique mais en tout cas je pense que ce serait une faute grave de la part d’un établissement de formation de ne pas, à un moment ou à un autre, aborder cette question au même titre que la gestion des risques ou la stratégie numérique. Ce qui pèse sur les dirigeants, c’est le risque de ne pas avoir pris les mesures nécessaires pour protéger et le capital informationnel de l’entreprise et sa e-réputation. Dans un monde devenu numérique, les établissements de formation ont une forte responsabilité.
Jean-François Fiorina : les grandes entreprises commencent à être sensibilisées mais je pense que c’est le trou noir pour les PME.
Jean-François Pépin : oui, c’est également le cas des start-ups. On vient sur un autre sujet qui m’est cher : l’intelligence économique. Des actions ont été menées avec les pouvoirs publics pour éviter le vol des brevets, par exemple. Mais il nous faut aller plus loin et le CIGREF milite pour que 2016 soit déclarée année de la cybersécurité.
Jean-François Fiorina : pour revenir à la formation, la très grande difficulté, pour nous, ce sont les jeunes diplômés, la génération « Y » – sociologiquement parlant. La sécurité relève, pour eux, de la science fiction, de l’atteinte à la vie privée…
Jean-François Pépin : oui, c’est pour cela que les établissements d’enseignement devraient appréhender ce sujet non pas comme la guerre du futur mais comme un acte de management. Au même titre que l’on enseigne à mesurer l’impact d’une décision sur la valeur patrimoniale de l’entreprise, sur le BFR ; sur les RH ou sur la stratégie.
Aujourd’hui, nous sommes encore dans une approche managériale issu du monde d’hier essentiellement basée sur la gestion des actifs matériels. Il y a peu de formation sur l’immatériel. Ce dont on parle, c’est d’information (structurée mais surtout non structurée), de données, de leur place dans l’entreprise. Au CIGREF, nous travaillons à donner un prix à ces données d’entreprises, car nous savons que tout ce qui n’a pas de prix n’a pas de valeur.
« Le patrimoine informationnel est si important que tout dirigeant devrait s’inquiéter de sa protection ! »
Tous les autres sujets qui sont quelquefois abordés dans le marketing et la gestion, ne sont pas reliés à cet aspect plus global. Le patrimoine informationnel est si important que tout dirigeant devrait se demander comment le protéger. Et ce n’est pas simplement installer des firewalls ou éviter la circulation de clefs USB. C’est aussi prendre en compte la dimension managériale de la gestion de service. Demain, vos étudiants – devenus dirigeants – seront au cœur de cette responsabilité.
« Quand on voit le développement des logiciels, on ne peut pas imaginer que toutes ces start-ups que l’on voit naître et que l’on encourage ne protègent pas la manière dont elles vont commercialiser leur valeur immatérielle, la mettre à disposition et la protéger. »
Jean-François Fiorina : cela renforce le fait que pour des étudiants qui n’ont pas encore l’expérience ou la maturité, c’est un peu compliqué. On va devoir trouver le bon type de message. Malheureusement les voleurs vont plus vite que les gendarmes !
Jean-François Pépin : Pour l’instant, on parle d’un acte de niveau 1 sur l’échelle de la maturité qui est la transmission-sensibilisation. Dans les 3 ans qui viennent, je pense que cette mission sera primordiale. Quand on voit le développement des logiciels, on ne peut pas imaginer que toutes ces start-ups que l’on voit naître et que l’on encourage ne protègent pas la manière dont elles vont commercialiser leur valeur immatérielle, la mettre à disposition et la protéger.
Jean-François Fiorina : est-ce qu’au vu de votre expérience, vous êtes optimiste par rapport à cette prise de conscience ?
Jean-François Pépin : oui parce que l’enseignement a toujours fini, avec un peu de retard, à s’adapter. Michael Porter, lui-même, vient d’effectuer une mise à jour des concepts qui l’ont rendu incontournable en indiquant combien l’impact des objets connectés peut modifier ses concepts phares comme la notion d’industrie, de chaîne de valeur ou d’avantage concurrentiel. Alors oui, je suis optimiste !
Quand les Professeurs comme Omar El Sawy et Francis Pereira, Professeurs à la Marshall School of Business de l’Université de Californie du Sud, ont décrit – pour le compte de la Fondation CIGREF – les nouveaux Modèles d’affaires dans l’espace numérique, alors oui, je suis optimiste quant à la prise en compte de ces sujets au sein des enseignements.
En résumé, les enseignants-chercheurs et les professeurs ont un rôle éminent à jouer s’ils savent rattacher cela non pas à la guerre des étoiles, mais à la véritable responsabilité managériale qui sera celle de leur étudiants demain. C’est tout l’enjeu pour vous ! De convaincre que ce n’est plus simplement une question de défense, mais que tout dirigeant est responsable de ce qu’il choisit d’ignorer ! Je peux vous dire qu’en entreprise, les conseils d’administration l’ont bien compris !
N’attendons pas la défaillance d’un dirigeant pour mettre en évidence cette responsabilité managériale !
On voit apparaître dans les entreprises un certain nombre de délégations pour qu’au moins en cas d’attaque, de détournement ou de vols de fichiers, le dirigeant puisse prouver qu’il a pris en compte cet aspect et qu’il a fait le nécessaire…
Jean-François Fiorina : c’est que j’appelle de la pédagogie à balles réelles…
Jean-François Pépin : Snowden, cet agent de la CIA a fait beaucoup pour la prise de conscience du fait que même la CIA n’a pas su protéger ses données. Je peux vous dire que les dirigeants ont compris le danger.
Jean-François Fiorina : est-ce aussi une question d’éthique ?
Jean-François Pépin : nous y sommes très sensibles. Nous avons déjà produit plusieurs rapports sur l’éthique du numérique. Elle induit dans nos vies et dans nos entreprises de nouvelles formes de règles sur lesquelles les entreprises vont devoir se positionner. Des questions centrales se posent : que fait-on des données de nos clients ? Comment agit-on comme tiers de confiance ? En acceptant de leur confier leurs données les plus intimes, les clients vont exiger que les entreprises soient tiers de confiance. Je ne parle pas simplement de mon chéquier, de mon compte en banque, mais d’un nombre considérable d’autres données que j’ai transmises à un moment ou à un autre parce que je voulais bénéficier de services. Si les entreprises ne sont pas capables de les protéger, alors je perdrai confiance et j’irai voir ailleurs.
Jean-François Fiorina : cela risque d’être encore plus évident avec les objets connectés ?
Jean-François Pépin : vous avez parfaitement raison, les choses vont s’amplifier avec les objets connectés. Cette année, l’un de nos groupes de travail sur l’intelligence artificielle aborde notamment la question de la responsabilité des robots. C’est une question que les entreprises se posent, pas seulement les assureurs avec la voiture connectée. Quelle est ma responsabilité si quelque part un objet connecté potentiellement piratable est la cause de graves dommages ? L’irruption du numérique vient profondément transformer non seulement la manière dont on fait le business, mais la manière dont on gère les femmes et les hommes, la manière dont on les recrute. Ces questions sont au cœur de ce nouveau type de management auquel vous devez former vos étudiants.
Jean-François Fiorina : pour nous la difficulté, c’est comment sensibiliser alors qu’ils n’ont pas tous le même niveau de maturité, cette vision 360°, d’utilisateur, manager ou de direction fonctionnelle. Il faut un peu de corpus.
Jean-François Pépin : si je peux me permettre, quand vous formez des jeunes à la stratégie d’entreprise, à la finance, à l’économie ou au marketing, ils n’ont pas tous le même degré de maturité sur la question. Ils viennent effectivement pour apprendre et se saisir des meilleurs auteurs, des meilleures pratiques dans ces domaines. Encore une fois, l’acte majeur pour une grande école comme la vôtre, c’est de ne plus en faire un sujet d’amusement général, mais de management. Et là, vous avez une responsabilité de formateur qui nous paraît essentielle et à laquelle nous serions heureux de contribuer.
Jean-François Fiorina : pour nos étudiants, le marketing, c’est plutôt de la créativité, du développement, des expériences personnelles ; le rapport à la cybersécurité est plus vécu comme un vice, une perversité et un risque. C’est un peu une pelote de laine, il y a du management, de la gestion du risque et de la valeur, des RH… C’est quelque chose presque sans fin et très transverse alors que nos matières sont plutôt verticales.
Jean-François Pépin : On est effectivement au cœur d’un nouveau leadership managérial induit par le numérique. Ce n’est plus une question de silos par matière à enseigner, mais de comportement et d’exemplarité face à cette nouvelle réalité dans laquelle s’exerce notre métier de dirigeant.
Jean-François Fiorina : est-ce que vous avez d’autres messages ou d’autres souhaits ?
Jean-François Pépin : que Grenoble Ecole de Management prenne le leadership sur le sujet ! En fasse un véritable enjeu de management. Par l’intérêt et l’attention que vous y portez, par la formation que vous proposez avec l’EMSI, vous disposez des enseignants, des outils des moyens, et de la notoriété pour le mener à bien. Je pense GEM gagnerait à en faire un acte fort de sa stratégie et de sa politique de développement.
Intéressant