Titulaire d’un doctorat en Informatique et Intelligence artificielle (systèmes industriels), obtenu à ISAE-Supaéro, Yannick Meiller est professeur à ESCP Europe. Ses travaux de recherche et ses enseignements portent pour l’essentiel sur le numérique et les domaines associés (traitements de l’information, Internet des objets, protection des données à caractère personnel, sécurité, systèmes d’information…), ainsi que sur le management de projets innovants. Il nous explique ici pourquoi la sécurité de l’information est un sujet à enseigner dans les écoles de management.
La transformation numérique est aujourd’hui un aspect majeur de la stratégie des entreprises. Il y a quelques années, « l’économie numérique » était considérée séparément de l’économie non numérique, mais aujourd’hui, c’est toute notre économie qui a des aspects numériques.
Il en va de même pour les entreprises elles- mêmes : tous les services, à tous les niveaux, sont transformés par le numérique. Bien sûr, l’ampleur de la transformation, son intensité et les enjeux varient selon les entreprises, mais un schéma clair se dessine : tout le monde passe au numérique !
La transformation numérique repose sur l’utilisation des technologies de l’information qui, comme leur nom l’indique, traitent l’information. L’objectif de la transformation numérique est de maximiser la valeur extraite de cette information. Plus une entreprise bénéficie du traitement de l’information, plus l’information devient précieuse. Toutefois, plus la valeur de l’information est élevée, plus le risque qui y est associé est élevé. Cela inclut le risque de la perdre, le risque qu’elle soit volée et le risque qu’elle soit corrompue par un agresseur. C’est pourquoi il est essentiel d’analyser le cyber-risque, de com- prendre la cyberprotection et d’enseigner aux gens comment mieux protéger leurs informations.
Les écoles de management enseigne la transformation numérique et la création de valeur par le traitement de l’information. Mais qu’en est-il de la protection de la valeur ainsi créée ? La transformation numérique, c’est la création de valeur basée sur le traitement de l’information. Nous le comprenons et elle a été intégrée avec succès dans les programmes de management, ici à ESCP Europe.
La transformation numérique, c’est aussi la protection de cette information et de sa valeur. Il est dangereux de créer de la valeur à partir de données sans la protéger. Les événements passés nous ont durement appris cette leçon.
En 2017, le ransomware « Wannacry » a touché des milliers d’organisations dans le monde entier. Le virus, qui exigeait le paiement d’une rançon, a contraint Renault à arrêter la production automobile et le NHS (National Health Service – système de la santé publique du Royaume-Uni) à cesser temporairement de traiter des demandes qui n’étaient pas jugées « critiques ». Le coût global de cette seule attaque a été estimé à deux milliards d’euros. Le coût moyen d’une cyberattaque, en 2017, a été estimé à 11,7 millions USD par Accenture1. Les détails de ces chiffres ont fait l’ob- jet de nombreuses discussions ; cependant, le fait est qu’ils sont colossaux et qu’ils représentent une menace sérieuse pour n’importe quelle entre- prise.
En raison de ces menaces, toute organisation qui crée de la valeur à partir de l’information devrait s’assurer qu’elle la protège. La création de valeur à partir des données est clairement reconnue comme étant une tâche de spécialiste du management, mais qu’en est-il de la protection de ces données ?
1 – Cost of Cybercrime study – 2018
La tentation est grande de laisser la protection de l’information aux « experts des technologies de l’information ». Après tout, la cyberprotection et le cyber-risque paraissent si « cyber » qu’il doit s’agir d’une question technologique.
C’est une approche erronée : la « protection de l’information » ou la « sécurité de l’information » devrait faire partie de la « protection du système d’information ». Un système d’information est composé de trois composantes :
• les technologies de l’information,
• l’organisation,
• et les personnes.
Ainsi, l’aspect technologique n’est qu’une partie du tableau. Les organisations et les personnes sont des sujets légitimes de management. En conséquence, un bon manager devrait être en mesure de contribuer à la protection de l’information.
Premièrement, la sécurité de l’information doit être adaptée aux risques réels. Or, seuls les managers savent évaluer la valeur de l’information dans un contexte donné. Quels sont les enjeux ? Que se passe-t-il si les concurrents accè- dent à ces données ? Quel est l’impact et le coût pour l’entreprise en cas de vol de données ?
Les conséquences sont-elles les mêmes si le site Web institutionnel d’une université devient inaccessible pendant une journée, ou si le site Web de commerce électronique d’un grand distributeur en ligne devient inaccessible pendant une journée ? Lorsqu’un partenariat impliquant l’échange d’informations est négocié, quelles sont ses implications sur le niveau de sécurité et que devons-nous mettre en œuvre afin de protéger les informations du partenaire ?
Deuxièmement, la structure de l’organisation joue un rôle majeur dans la protection des informations. La désormais fameuse « fraude au PDG » repose en grande partie sur les failles de l’organisation. La fraude au PDG commence généralement par l’envoi, par un fraudeur, d’un message électronique à un collaborateur du service financier d’une entreprise (ou par un appel téléphonique à celui-ci). Le fraudeur demande à son interlocuteur de transférer rapidement de l’argent sur un certain compte bancaire pour une raison précise. Il n’y a rien de high-tech ici ! Seulement quelqu’un qui se fait passer pour le PDG et qui exige de l’argent… et ça marche étonnamment bien !
Troisièmement, la principale menace en matière de sécurité de l’information vient du comportement des employés. Je ne parle pas ici d’actes intentionnels perpétrés contre les intérêts de l’entreprise. Au contraire, il s’agit d’employés innocents dont le comportement met l’entreprise en danger : en écrivant des mots de passe sur des post-it, en donnant accidentellement des informations confidentielles ou simplement en ne sauvegardant pas leurs données.
La première chose à faire pour améliorer la protection de l’information est de sensibiliser aux risques et aux conséquences potentielles d’une cyber-attaque. Les managers ont un rôle majeur à jouer à cet égard. Ils sont les seuls à pouvoir induire de bons comportements. L’installation d’antivirus, de pare-feu ou d’outils de chiffrement est pertinente pour la sécurité de l’information, mais cela ne changera pas les comportements
humains.
Les managers ont besoin de savoir comment protéger leurs organisations, et c’est pourquoi les écoles de management ont un rôle important à jouer. Une partie des étudiants d’écoles de management sont pleinement conscients des risques d’une cyber-attaque et, par conséquent, savent comment protéger leurs données, mais ils sont malheureusement minoritaires.
En 2018, nous avons posé plusieurs questions sur la sécurité de l’information à un petit groupe d’étudiants en executive MBA. La taille du groupe est trop petite pour qu’on puisse en tirer une généralisation statistique, mais elle donne tout de même des indications intéressantes. Parmi eux, 7 % croyaient qu’il n’y avait aucune menace d’attaque ciblant l’information en ce qui concerne leur entreprise. La bonne nouvelle, c’est que la majorité d’entre eux étaient conscients de la menace.
Cependant, les 7% dans le déni de toute cyber- attaque étaient des managers ! Pire encore, la moitié d’entre eux ont déclaré qu’il ne valait pas la peine de les cibler pour obtenir des informa- tions. Ils semblent avoir oublié qu’ils ont accès au système d’information de l’entreprise où l’on peut trouver des informations sensibles. Tous ont également déclaré travailler sur leur ordinateur portable lorsqu’ils voyagent.
On pourrait supposer que cette nouvelle génération de managers soit plus sensibilisée aux questions de cybersécurité. Après tout, ils sont « digital natives ». Malheureusement, cela ne signifie pas nécessairement qu’ils possèdent une grande culture numérique. En fait, cette génération utilise les données Internet dans le cadre de ses loisirs, ce qui semble rendre plus difficile pour elle de comprendre les contraintes et les dangers de la sécurité des données au sein d’une entre- prise. Dans le même groupe d’étudiants en executive MBA, la moitié d’entre eux se plaignent que les mesures de sécurité de l’information mises en place par leurs entreprises ne font que les ralentir.
Une fois que les managers connaissent les conséquences de ne pas protéger leurs données, ils devraient apprendre quelques outils simples pour aider à arrêter la cybercriminalité. Ils devraient également être informés des bonnes pratiques pour améliorer le niveau de sensibilisation et le niveau de contribution de leurs équipes.
Bien entendu, l’objectif ici n’est pas de former des experts en cybersécurité, mais de s’assurer que les managers puissent comprendre et gérer la partie protection de l’information de leur entre- prise, en impliquant des experts si nécessaire. Pour être en charge de la transformation numérique, les managers doivent appréhender les deux aspects : la création de valeur et la protection de la valeur.
L’intégration de ces aspects dans un programme de formation en management soulève les questions habituelles liées à la transformation numérique :
• Devrait-on créer un cours autonome?
• L’analyse des risques et la sécurité de l’information doivent-elles être intégrées dans chaque cours ?
• La création de valeur à partir de l’information et la protection de cette valeur devraient-elles être enseignées ensemble ou dans des cours séparés ?
Actuellement, la plupart des programmes de formation en management sont en retard en ce qui concerne la sécurité de l’information.
Par conséquent, la priorité est d’accroître l’exposition à la sécurité de l’information. La sécurité de l’information recoupe un autre sujet clé : la protection des données à caractère personnel. Dans les entreprises BtoC, la protection des données à caractère personnel est un enjeu central de la transformation numérique. Au niveau individuel, chacun devrait protéger ses propres informations personnelles – en évaluant ce qui doit rester confidentiel et quelles mesures doivent être prises pour garantir leur confidentialité. De plus, ce sujet de la « vie privée numérique » soulève des questions sociétales. Pour ces raisons, il est logique d’enseigner ensemble la protection de l’information et la confidentialité de l’information. Cette dernière peut paraître au premier abord plus intéressante pour les étudiants, et constitue donc un bon point d’entrée pour ouvrir la voie à la première.
La protection de la vie privée et la façon dont elle est perçue par les consommateurs sont des éléments clés pour de plus en plus de modèles économiques. Ceci est renforcé par le développement du Big Data, de l’analyse des données, de l’apprentissage automatique (machine learning)… Lorsque nous pensons à ce que seront les entre- prises et la société de demain, la protection des informations à caractère personnel est essentielle.
Il est intéressant de noter que des cultures différentes ont des appréhensions différentes de la protection des informations personnelles. C’est donc un sujet de prédilection lorsqu’il s’agit de gestion multiculturelle dans les écoles de management. L’Europe a un positionnement fort avec le règlement général sur la protection des données (RGPD) et nombreux sont ceux qui affirment que ce nouveau cadre juridique pourrait changer la façon dont les entreprises fonctionnent. Ces différences constituent toujours une opportunité de débats riches, surtout avec les étudiants étrangers.
Pour l’heure, nous poursuivrons ces discussions et enseignerons à nos étudiants la sécurité de l’information. À ESCP Europe, nous avons intégré dans notre executive MBA un cours autonome sur la « Protection de la valeur de l’information numérique » ainsi qu ‘un autre sur la création de valeur avec le Big Data. En formation initiale, nous avons introduit des cours électifs sur ces questions. Gageons que plus d’écoles de management nous suivront et, que plus d’échanges avec les entreprises sur ces sujets nous permettrons de développer et d’améliorer encore ce type d’enseignements.