Dette cyber et souveraineté numérique : une urgence stratégique
Au cours des vingt dernières années, de nombreuses entreprises ont accumulé une véritable « dette cyber ». Il s’agit de l’ensemble des mesures de sécurité qui auraient dû être mises en place mais ne l’ont pas été. Ce retard fragilise la résilience des organisations.
Parmi ces dettes cyber figurent des mesures de protection fondamentales telles que l’authentification multi-facteur, sauvegardes régulières, gestion des endpoints, définition claire des rôles et responsabilités en matière de sécurité et la sensibilisation du personnel.
Ce retard fragilise la résilience des organisations dans un environnement marqué par des menaces industrialisées et une pression réglementaire croissante. La dette cyber n’est plus un simple décalage technique. Elle constitue un risque stratégique pour la continuité d’activité, la réputation et la compétitivité.
L’essor rapide de l’intelligence artificielle accentue cette exposition. Les collaborateurs utilisent désormais l’IA pour analyser ou générer des contenus sans toujours mesurer les risques associés aux fuites d’informations sensibles ou de secrets d’affaires. L’adoption rapide de ces technologies, parfois en dehors de cadres de gouvernance formalisés, élargit significativement la surface d’exposition.
La sécurité de l’information n’est plus seulement une affaire de pare-feu ou d’IT. Elle relève d’une gouvernance intégrée, articulant gestion des risques, stratégie technologique, conformité réglementaire et culture organisationnelle.
De la conformité à la responsabilité de direction
En Europe, la directive NIS2 renforce les obligations des entités essentielles et importantes et engage directement la responsabilité des dirigeants. En Suisse, la Loi sur la sécurité de l’information (ISG) s’inscrit dans la même dynamique.
La direction doit désormais démontrer sa capacité à gérer les risques cyber et à protéger les processus métiers essentiels.
Une approche globale de gestion des risques est requise, couvrant non seulement les systèmes internes, mais également la chaîne d’approvisionnement, y compris les fournisseurs et partenaires. Dans ce contexte, la Business Impact Analysis (BIA) devient un outil central pour identifier les dépendances critiques, définir les priorités et aligner les investissements en sécurité sur les objectifs stratégiques.
Souveraineté numérique et gestion du risque OT
Dans l’industrie, la numérisation et l’IA optimisent la production et la maintenance. Mais la concentration croissante de ces données dans des infrastructures cloud externes soulève des enjeux de souveraineté numérique, de dépendance technologique et d’exposition juridique.
Les entreprises doivent savoir où résident leurs données, quelles solutions d’IA sont utilisées et sous quelles juridictions elles sont traitées et prévoir des alternatives en cas de restriction d’accès. Cartographier et classifier les données critiques devient une exigence stratégique.
Cybersécurité, continuité d’activité et souveraineté opérationnelle convergent désormais. La sécurité devient un levier stratégique au service de la résilience de l’entreprise et de la confiance des clients.
Comment les entreprises peuvent-elles concrètement prioriser et réduire progressivement leurs « dettes cyber », sans mettre en péril leurs opérations courantes ?
Les dettes cyber ne peuvent être réduites que de manière structurée et basée sur les risques. Il faut d’abord une transparence totale sur les systèmes, les vulnérabilités et les risques. Sur cette base, une feuille de route cybersécurité alignée sur les standards est élaborée puis intégrée dans un plan de mise en œuvre réaliste, avec un focus sur les mesures de sécurité fondamentales. Ce qui est déterminant, c’est une approche globale englobant les aspects « People, Process et Technology ».
Comment la responsabilité de la sécurité de l’information peut-elle passer d’une tâche purement technique à une mission managériale durable à l’échelle de l’entreprise ?
Pour qu’elle devienne une mission managériale, il faut un changement de perspective : la sécurité est un risque business, pas seulement un sujet IT. Elle doit être ancrée stratégiquement et rendue visible au niveau de la direction. Cette visibilité naît d’une sensibilisation ciblée ainsi que d’indicateurs de sécurité (KPI) clairement définis, régulièrement rapportés, permettant ainsi un pilotage efficace.
Quels critères et processus doivent être pris en compte lors de l’élaboration de stratégies de sortie pour les services Cloud et IA, afin de garantir la souveraineté numérique face aux risques réglementaires et géopolitiques ?
Les stratégies de sortie pour les services Cloud et IA doivent être prises en compte très tôt, dès le choix du fournisseur. Les critères essentiels sont la portabilité des données dans des formats standardisés et l’évitement de dépendances propriétaires, en particulier sur les modèles d’IA. Il est crucial de stipuler contractuellement des règles claires sur la résiliation, la conservation, le traitement, la restitution, la suppression des données et l’assistance au moment de l’exit. Cela permet de contrôler spécifiquement les risques réglementaires et géopolitiques et d’assurer la souveraineté numérique.
Dans quelle mesure et avec quels instruments les fournisseurs et partenaires doivent-ils être intégrés à la Business Impact Analysis pour identifier et gérer précocement les dépendances critiques ?
Les fournisseurs et partenaires doivent être intégrés à la Business Impact Analysis de façon systématique et selon une logique de gestion des risques, avec un focus particulier sur les tiers critiques. Les dépendances dans les processus métiers doivent être identifiées et évaluées au plus tôt, idéalement avant l’acquisition, à l’aide d’une évaluation structurée de la sécurité et des risques. Des évaluations, audits, certifications standardisées ainsi que des exigences contractuelles de sécurité claires permettent en complément de piloter les dépendances critiques dès le départ.
Comment, selon vous, l’utilisation d’outils d’IA par les employés peut-elle être régulée afin de libérer le potentiel d’innovation tout en minimisant le risque de fuites de données sensibles et de secrets d’affaires ?
L’utilisation des outils d’IA ne doit pas être interdite mais rendue possible de manière responsable. Des règles claires sont nécessaires, en particulier sur les types de données autorisées et sur la gestion des informations sensibles. Parallèlement, l’entreprise doit proposer des outils validés et autorisés pour éviter les usages cachés (shadow IT/AI).
La sensibilisation des collaborateurs ainsi que l’usage de mesures techniques telles que la prévention de fuite de données (DLP) et les contrôles d’accès sont essentiels. L’élément clé est une gouvernance claire qui permet une utilisation contrôlée de l’IA, conciliant innovation et sécurité.
