Pourtant, face à la multiplication des cybermenaces, la cybersécurité est assurément un élément clé d’une stratégie de protection efficace. Et pas seulement du business d’une entreprise.
Car, quand on parle de cybersécurité, on parle nécessairement de la protection des données personnelles. Des données de santé, des moyens de paiement (avec le risque d’appauvrissement associé), lié au contenu d’emails – bref, de tout ce qui constitue la vie privée. Ce raisonnement nous amène à une conclusion, quelque peu occultée aujourd’hui : la cybersécurité porte en elle une dimension sociale indéniable puisqu’elle contribue à protéger les individus. Voilà comment un nouveau paradigme émerge, celui de l’entreprise qui protège – ses salariés, ses clients, ses actionnaires.
L’entrée en vigueur du règlement général sur la protection des données (RGPD) en mai 2018 a constitué une avancée majeure. Il a renforcé les responsabilités en matière de protection de données et confère aux entreprises le rôle de « responsables a priori ». Ces dernières sont considérées comme garantes de leur politique de gestion des données personnelles et deviennent le principal acteur de la protection des personnes.
Par ailleurs, elles sont désormais confrontées à une double mission : sécuriser leur environnement numérique et sensibiliser leurs collaborateurs afin que ceux-ci deviennent de véritables ambassadeurs capables d’appréhender les enjeux de confidentialité, de traçabilité et d’intégrité de l’information dans de multiples contextes : chez eux, en déplacement, sur leur lieu de travail. Des ambassadeurs actifs dans l’entreprise et en dehors pour accompagner les citoyens les plus exposés aux cybermenaces tels que les jeunes, les personnes âgées ou celles dont l’accès à l’information est difficile.
Il est donc plus que temps que les entreprises prennent leur part dans la sensibilisation et la propagation de comportements vertueux en matière de protection des données. Il s’agit là d’un devoir moral qui rompt avec les silos traditionnels du « salarié » d’un côté, et du « citoyen » de l’autre. Ces deux identités doivent désormais être intrinsèquement liées avec un seul objectif en tête : créer une société plus mature, mieux protégée, moins vulnérable et donc plus sécurisée. L’Etat, les citoyens et les entreprises commencent à le comprendre. Le premier, via l’ANSSI avec des premières initiatives telles que le « Dispositif d'assistance aux victimes d'actes de cybermalveillance » (cybermalveillance.gouv.fr) ou le « Mois Européen de la cybersécurité ». Les citoyens qui peuvent d’ores et déjà s’engager par exemple au sein de la Réserve citoyenne pour éduquer leurs compatriotes. Et enfin, les entreprises qui ont toute latitude pour déborder de leur fonction et sensibiliser leurs salariés aux enjeux de sécurité aussi bien dans leur sphère professionnelle que personnelle.
Etat, citoyens, entreprises : nous avons tous à y gagner. Il y a urgence. A chacun de prendre sa part !
Par Hervé Ysnel, vice-président en charge des activités sécurité, risque et continuité d’activité chez CGI Business Consulting