Un score EPC pour votre habitation, un label énergétique pour votre frigidaire, un niveau CO2 maximal pour votre voiture,... On attribue aujourd'hui un label à bien des choses, afin de permettre de contrôler si ce qu'on achète est qualitativement en ordre. Dans le secteur financier, il existe aussi des cotations pour vérifier si une entreprise est solvable et fiable. Mais comment savoir si vos partenaires répondent aux exigences sur le plan de la sécurité IT, surtout compte tenu des directives GDPR strictes et des amendes correspondantes?

Voyons les choses en face: plus notre économie se numérise, plus il y a de données dans le nuage et plus la tentation est grande chez les pirates d'en dérober. Je ne citerai qu'un seul nombre: 531.596.111. C'est là le nombre de fichiers de données qui ont été volés en l'espace d'un mois (septembre dernier). Et sur une base annuelle, cela dépasse allègrement les dix milliards de fichiers, à savoir dix suivi de neuf zéros!

En outre, personne n'est en sécurité: ni les multinationales, ni les pouvoirs publics, ni les PME chez nous. Passons simplement en revue l'actualité de ces dernières semaines: une attaque DDoS contre les plates-formes numériques du parti politique britannique Labour, des hackers qui exigent le versement de 6,8 millions de dollars (rançongiciel) de la raffinerie pétrolière mexicaine Pemex,... Plus localement, il y eut évidemment l'affaire Asco à Zaventem et, plus récemment, une cyber-attaque lancée contre l'université d'Anvers et une autre sur l'usine Picanol.

En fait, les entreprises doivent se voir attribuer non seulement une cote financière démontrant leur solvabilité, mais aussi une cote de cyber-sécurité

Le cyber-crime est donc en train de devenir l'un des principaux risques pour les entreprises et les organisations. Il exerce un impact non seulement sur le fonctionnement quotidien et le chiffre d'affaires - certaines firmes sont paralysées des jours durant -, mais il nuit aussi à la réputation des entreprises.

Cote de cyber-sécurité

Malheureusement, ce n'est souvent qu'après un piratage que la cyber-sécurité est mise à l'agenda du conseil d'administration, et que la demande par le service IT d'une solide politique de cyber-sécurité ne tombe pas dans l'oreille d'un sourd. Le hic, c'est que le cyber-risque est difficile à expliquer par le responsable IT. Il utilise en effet des termes techniques, alors qu'on parle souvent chiffres au sein du conseil d'administration. Ou bien ce dernier se pose des questions à propos des importants investissements dans la cyber-sécurité que demande l'IT, parce qu'il estime que le risque que l'entreprise soit piratée, est relativement faible. (Le conseil d'administration ne voit pas non plus combien de tentatives d'attaque peuvent être repoussées avec une solution de sécurité valable.)

En fait, les entreprises doivent se voir attribuer non seulement une cote financière démontrant leur solvabilité, mais aussi une cote de cyber-sécurité. Un code à chiffres ou à lettres qui informe directement le monde extérieur et les partenaires commerciaux de la qualité de protection d'une entreprise contre la cybercriminalité. C'est important dans la mesure où ce score objectif rend l'aspect cyber-sécurité compréhensible par les administrateurs.

Car supposons que votre entreprise investisse beaucoup dans la sécurité et respecte entièrement la réglementation la plus rigoureuse. Vous attendez dès lors de tous vos partenaires (et clients) qu'ils soient au même niveau sur le plan de la cyber-protection. Le problème qui se pose aujourd'hui, c'est comment le savoir. Avec un score de sécurité indépendant, les choses seraient claires, et vous pourriez savoir avec quels acteurs collaborer de manière sûre. Cela deviendra à l'avenir un argument de vente.

La cote pourrait également jouer un rôle lors de rachats. Si la cote de sécurité de votre entreprise est A+ et que vous voulez racheter une autre firme, dont le score est plus faible (disons: C-), vous pourriez alors calculer objectivement combien cela vous coûterait pour amener la sécurité IT de cette entreprise au même niveau que la vôtre. Et vous pourriez éventuellement en faire usage lors des négociations sur le montant du rachat.

Avant d'acheter un frigidaire, vous passez quand même en revue les meilleurs labels énergétiques. Pourquoi dès lors ne pas consulter les cotes de cyber-sécurité en affaires?

Un score EPC pour votre habitation, un label énergétique pour votre frigidaire, un niveau CO2 maximal pour votre voiture,... On attribue aujourd'hui un label à bien des choses, afin de permettre de contrôler si ce qu'on achète est qualitativement en ordre. Dans le secteur financier, il existe aussi des cotations pour vérifier si une entreprise est solvable et fiable. Mais comment savoir si vos partenaires répondent aux exigences sur le plan de la sécurité IT, surtout compte tenu des directives GDPR strictes et des amendes correspondantes?Voyons les choses en face: plus notre économie se numérise, plus il y a de données dans le nuage et plus la tentation est grande chez les pirates d'en dérober. Je ne citerai qu'un seul nombre: 531.596.111. C'est là le nombre de fichiers de données qui ont été volés en l'espace d'un mois (septembre dernier). Et sur une base annuelle, cela dépasse allègrement les dix milliards de fichiers, à savoir dix suivi de neuf zéros!En outre, personne n'est en sécurité: ni les multinationales, ni les pouvoirs publics, ni les PME chez nous. Passons simplement en revue l'actualité de ces dernières semaines: une attaque DDoS contre les plates-formes numériques du parti politique britannique Labour, des hackers qui exigent le versement de 6,8 millions de dollars (rançongiciel) de la raffinerie pétrolière mexicaine Pemex,... Plus localement, il y eut évidemment l'affaire Asco à Zaventem et, plus récemment, une cyber-attaque lancée contre l'université d'Anvers et une autre sur l'usine Picanol.Le cyber-crime est donc en train de devenir l'un des principaux risques pour les entreprises et les organisations. Il exerce un impact non seulement sur le fonctionnement quotidien et le chiffre d'affaires - certaines firmes sont paralysées des jours durant -, mais il nuit aussi à la réputation des entreprises.Malheureusement, ce n'est souvent qu'après un piratage que la cyber-sécurité est mise à l'agenda du conseil d'administration, et que la demande par le service IT d'une solide politique de cyber-sécurité ne tombe pas dans l'oreille d'un sourd. Le hic, c'est que le cyber-risque est difficile à expliquer par le responsable IT. Il utilise en effet des termes techniques, alors qu'on parle souvent chiffres au sein du conseil d'administration. Ou bien ce dernier se pose des questions à propos des importants investissements dans la cyber-sécurité que demande l'IT, parce qu'il estime que le risque que l'entreprise soit piratée, est relativement faible. (Le conseil d'administration ne voit pas non plus combien de tentatives d'attaque peuvent être repoussées avec une solution de sécurité valable.)En fait, les entreprises doivent se voir attribuer non seulement une cote financière démontrant leur solvabilité, mais aussi une cote de cyber-sécurité. Un code à chiffres ou à lettres qui informe directement le monde extérieur et les partenaires commerciaux de la qualité de protection d'une entreprise contre la cybercriminalité. C'est important dans la mesure où ce score objectif rend l'aspect cyber-sécurité compréhensible par les administrateurs.Car supposons que votre entreprise investisse beaucoup dans la sécurité et respecte entièrement la réglementation la plus rigoureuse. Vous attendez dès lors de tous vos partenaires (et clients) qu'ils soient au même niveau sur le plan de la cyber-protection. Le problème qui se pose aujourd'hui, c'est comment le savoir. Avec un score de sécurité indépendant, les choses seraient claires, et vous pourriez savoir avec quels acteurs collaborer de manière sûre. Cela deviendra à l'avenir un argument de vente.La cote pourrait également jouer un rôle lors de rachats. Si la cote de sécurité de votre entreprise est A+ et que vous voulez racheter une autre firme, dont le score est plus faible (disons: C-), vous pourriez alors calculer objectivement combien cela vous coûterait pour amener la sécurité IT de cette entreprise au même niveau que la vôtre. Et vous pourriez éventuellement en faire usage lors des négociations sur le montant du rachat.Avant d'acheter un frigidaire, vous passez quand même en revue les meilleurs labels énergétiques. Pourquoi dès lors ne pas consulter les cotes de cyber-sécurité en affaires?