Matthias Bossardt explique dans l’interview la façon dont les entreprises font face à la menace croissante induite par les cyberrisques et quels rôles jouent ici les jeunes talents.
Matthias Bossardt, responsable cybersécurité chez KPMG
Les cyberattaques et leurs conséquences sont une réalité à laquelle les entreprises suisses sont confrontées depuis quelque temps déjà. Un sondage mené par KPMG Suisse révèle que près de la moitié des entreprises victimes d’une cyberattaque ont essuyé des pertes financières et ont vu leurs activités perturbées. La sophistication croissante et la multiplication des cybermenaces et des pirates informatiques, l’évolution rapide des technologies, la généralisation des services informatisés et établis dans le cloud et les changements au sein des règlements sur la confidentialité des données sont quelques facteurs parmi d’autres qui ont incité les entreprises à s’intéresser davantage à la cybersécurité et à la protection de leurs informations.
De plus en plus de données sensibles, touchant notamment à la propriété intellectuelle, de données sur des clients et d’informations personnelles identifiables sont conservées et traitées dans le cloud. De cette migration vers le cloud, les entreprises espèrent un regain d’agilité et d’innovation, un accès rapide au marché, une expérience client et, dans certains cas, une sécurité renforcée. Mais il est crucial que l’entreprise comprenne son exposition aux risques vis-à-vis de tiers et dispose d’une stratégie et d’une approche de sécurité du cloud claires, qui définisse l’adoption et l’utilisation des ressources du cloud à travers l’entreprise en toute sécurité. Cette stratégie devrait également tenir compte du fait que le cloud n’est pas qu’une «simple solution d’externalisation de plus», car la maîtrise des risques peut être différente dans un environnement de cloud hybride. Omettre cet aspect peut compromettre les bénéfices attendus d’une migration vers le cloud et l’intérêt de la démarche.
Oui! Une étude sur la cybersécurité que nous avons réalisée l’année dernière a révélé qu’environ 50% des établissements sondés n’avaient mis en place aucun instrument de contrôle sur leurs fournisseurs et que 38% n’avaient pas de clauses contractuellement contraignantes relatives aux cyberrisques. De plus, la grande majorité des plans d’intervention cybernétiques ne couvre pas les incidents relatifs aux attaques contre les fournisseurs ou partenaires commerciaux.
Elle peut être les deux. Les technologies d’intelligence artificielle accélèrent la transformation des entreprises: de plus en plus de décisions sont prises sur la base d’algorithmes d’apprentissage machine. Utiliser ces outils puissants de façon responsable est donc primordial. De plus, l’obtention des résultats souhaités passe par la mise en place d’une gouvernance appropriée. Afin d’aider les entreprises à gérer et à développer l’intelligence artificielle de façon responsable, KPMG a lancé «AI In Control». Ce cadre repose sur un ensemble de méthodes, d’outils et d’évaluations pour aider les entreprises à tirer parti des technologies de l’intelligence artificielle tout en atteignant des objectifs impératifs tels que l’intégrité, l’explicabilité, l’équité et l’agilité des algorithmes.
En fait, nous manquons cruellement de professionnels chevronnés en cybersécurité. La relève suisse doit être nettement plus encouragée. Nous parlons ici de personnes qui connaîtraient bien la multiplicité des risques cybernétiques et qui sauraient comment y remédier. Le manque de professionnels chevronnés en cybersécurité, associé aux restrictions budgétaires, montre à quel point l’automatisation est importante. Les entreprises devraient envisager d’automatiser certaines tâches répétitives de collecte et d’analyse des données sur les intrusions. Ceci permettrait de redéfinir les priorités sur lesquelles les professionnels de la cybersécurité devraient se concentrer. Les entreprises devraient également recruter de nouveaux talents à la sortie de l’université et développer des programmes de formation sur mesure pour constituer la nouvelle génération de professionnels de la cybersécurité.
KPMG apporte sa pierre à cet édifice en investissant dans la nouvelle génération de cyberspécialistes et, de ce fait, dans le pays en lui-même en tant que centre de formation et d’affaires sur le long terme. KPMG Suisse s’est associée à l’entreprise de cybersécurité Immersive Labs, établie au Royaume-Uni, pour lancer la «Digital Cyber Academy». À travers ce partenariat innovant, KPMG met gratuitement à la disposition de toutes les hautes écoles spécialisées et universitaires une plate-forme de formation et d’évaluation cybernétiques basée sur le cloud. Celle-ci permettra à la Suisse, en tant que centre de formation et d’affaires, d’avoir une nouvelle génération d’experts sur qui compter, capables de traiter avec assurance des cyberrisques de plus en plus complexes. Au final, cette valeur ajoutée sera une vraie aubaine pour les entreprises suisses.
La vérification approfondie financière et commerciale est depuis longtemps systématique dans le contexte des investissements ou des fusions et acquisitions. Mais, en dépit des risques associés, la cybersécurité semble être négligée par la grande majorité des entreprises suisses durant la phase de due diligence. Faire abstraction de la due diligence en cybersécurité avant d’investir dans une affaire pourra s’avérer coûteux à la fois sur le plan financier et en matière de réputation – surtout en cas d’atteinte à la vie privée d’un client ou d’interruption majeure des activités commerciales.
Si la plupart des entreprises sont bien conscientes de la pertinence de la cybersécurité, les mesures prises concrètement restent peu nombreuses. Les cyberstratégies de nombreux établissements suisses accusent cette contradiction manifeste. En effet, beaucoup ne voient la cybersécurité qu’à travers les menaces et les risques. Par des mesures appropriées, les entreprises pourraient accroître leur résistance et gagner davantage la confiance des parties prenantes concernées. Ceci renforcerait leur réputation et ainsi également leur position au sein de la concurrence, ce qui générerait des contrats supplémentaires.