cybersécurité
Les professionnels de la sécurité numérique le reconnaissent : le facteur humain est primordial pour une bonne cybergouvernance. Cette dernière doit donc inclure les expertises des ressources humaines et de la communication.

C’était le bon vieux temps. Il suffisait d’installer des antivirus, des firewall... et l’entreprise était protégée. C’est fini, constate Isabelle Marand, vice-présidente chargée de la communication corporate de Gemalto, spécialiste de la sécurité numérique: «La cybersécurité ne peut plus être cantonnée à un problème IT. Il faut entrer dans une démarche plus large et plus préventive, avec un comité de gouvernance comprenant des représentants de l’IT, de la finance, du marketing, du juridique et de la communication.»
Les RH ont déjà pris la mesure du problème assure de son côté Audrey Richard, porte-parole de l’Association nationale des DRH (ANDRH): «L’interconnexion a atteint un tel degré, de même que la proximité des données professionnelles et personnelles, qu’il est devenu impossible de prévoir tous les cas de figure. Les équipes de sécurité IT doivent donc se tourner vers les RH car le facteur humain prend une importance croissante.»
Le monde de la communication semble moins conscient de l’enjeu et des opportunités qu’il offre, affirme de son côté Vincent Dujardin, consultant du cabinet Alquier Communication: «Avec la transformation digitale se déroule actuellement dans les entreprises une compétition entre les fonctions dont le but est de mieux se positionner vis-à-vis de grands enjeux et d’avoir plus de poids auprès de la direction générale. La communication est absente de cette bataille alors même que c’est un chantier clef de la cyber gouvernance. Pour être plus précis, je dirais que la communication existe en tant que média, dans la gestion de crise par exemple, mais qu’elle n’existe pas en tant que fonction. Elle s’est intéressée aux outils, aux règles de bonnes conduites, mais elle a délaissé les enjeux propres à la communication.»

ETI et PME hors d’atteinte

La communication peut pourtant solidifier la cybergouvernance dès lors que la réputation est concernée, estime Laetitia Rossille, head of corporate practice «influence & reputation» chez Ogilvy Paris: «Un communicant ne remplace pas un risk manager ou un DSI, mais il pose des questions utiles qui permettront de développer un dispositif de communication et de le mettre en œuvre.» Se positionner en amont et sur une approche élargie offre un autre avantage: «Le sujet cyber peut être évoqué de façon positive en se projetant dans des dimensions comme la gestion des données ou l’optimisation des produits.»
Très louable, cette approche risque toutefois de manquer son objectif. Les directions de la communication ne peuvent agir que dans les limites de l’entreprise au sens juridique du terme alors que les flux de données la relient en permanence à une myriade de fournisseurs, de sous-traitants et de clients… «Dans une économie totalement interconnectée, le grand est dépendant du petit pour la cybersécurité, rappelle Pierre Calais, CEO de Stormshield, la filiale d’Airbus Defence and Space spécialisée dans la sécurité des infrastructures digitales. Communiquer uniquement dans les grandes entreprises ne suffit plus. Les directions de la communication vont devoir également travailler avec les ETI et PME fournisseurs pour sensibiliser l’ensemble de leur écosystème et garantir leur protection.»
Le rôle des RH en amont est tout aussi essentiel. «Ils ont une connaissance des pratiques des utilisateurs qui peut contribuer à éclairer la conception d’une politique de cybergouvernance, précise Pascal Junghans, directeur de projet chargé de l’activité prospective d’Entreprise & Personnel. Ils ont également un rôle à jouer dans la sensibilisation et la construction des réponses, qui doivent prendre en compte les collaborateurs, mais aussi la réglementation, voire les dispositions des conventions collectives.»

Le RGPD, booster de la cybergouvernance?

La contribution des RH peut s’étendre à d’autres domaines, ajoute Audrey Richard: «Ils peuvent aider le SI [service informatique] à trouver les bons profils pour des missions de cybersécurité, nouer les contacts avec les meilleures écoles et proposer à ces collaborateurs des parcours d’expertise motivants. Ils peuvent aussi contribuer à la mise en place des mesures de prévention, déterminer quelle data est sensible et quelles personnes la détiennent: les financiers, les juristes, etc.»
Le chemin promet cependant d’être long, selon Vincent Dujardin: «Le risque cyber reste encore un sujet DSI. Au point que certaines DSI dans les grandes entreprises ont un budget com propre pour communiquer sur ces sujets.» Isabelle Marand déplore de son côté une faible mobilisation: «Nous constatons malheureusement que les entreprises “1res de la classe”, qui confient aux RH et à la communication un rôle d’information et de formation aux bonnes pratiques, sont très rares. Dans le monde anglo-saxon, les entreprises sont plus pro-actives.» L’application, dès mai 2018, du règlement européen sur la protection des données [RGPD] pourrait faire évoluer la situation rapidement. Il prévoit en effet de lourdes sanctions (jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) pour les entreprises n’ayant pas pris toutes les mesures assurant la protection des données.

Quand les pros du cyber font appel à la com

Pierre Calais, CEO chez Stormshield

Chez Stormshield, la filiale d’Airbus Defence and Space spécialisée dans la sécurité des infrastructures digitales, la cybergouvernance est déjà une réalité : « Les RH et les directions de la Communication doivent mettre en lumière la problématique de la cybersécurité au sein de leur entreprise et mener des actions auprès des collaborateurs. Pour exemple, chez Stormshield, nous avons fait appel à des experts publics de la cybersécurité pour sensibiliser nos collaborateurs. Tous nos collaborateurs ne sont pas des experts dans ce domaine. Cet échange avec des experts dont la mission est de traquer les cyberattaques au niveau national leur a permis de mieux comprendre les conséquences de ces attaques, et non pas d’aborder la cybersécurité sous un aspect technique. »

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.