Notre vision

Un contexte

Alors que les organisations et les individus sont chaque jour de plus en plus interconnectés et dépendants des technologies de l’information, les cyber risques explosent. Le début du XXIème siècle a vu la multiplication des piratages de grande ampleur. Ainsi rien qu’en 2017, des entreprises comme Uber, la SEC, Equifax, Deloitte, Cdiscount, Renault ou l’Université de Stanford ont annoncé avoir été victimes de hackers. Une étude récente a montré que 68% des entreprises françaises avaient été victimes d’une fraude dans les 24 derniers mois, sachant que 53% des fraudes concernent la cybercriminalité. Plus alarmant encore, la moitié des Américains a été touchée par un piratage en 2017. Les nations, organisations et individus peuvent être fragilisés par des cyber crimes, des crimes dans lesquels une expertise cyber est utilisée pour violer la loi.

Face à cette croissance des cyber risques, le cadre légal a évolué fortement. La directive sur la sécurité des réseaux et des systèmes d’information (adoptée le 6 juillet 2016, connue sous l’appellation "directive NIS", Network and Information Systems) prévoit le renforcement des capacités nationales de cyber sécurité et établit un cadre formel de coopération entre États membres.  Ces exigences se trouvent renforcées par le contexte réglementaire actuel, notamment concernant la protection des données, qui évolue dans le sens d’une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (règlement européen sur la protection des données personnelles) qui entrera en vigueur en mai 2018.

Dans un tel contexte brûlant, Audencia a mis en place une chaire "Anti-Fraude et Cybersécurité". Son objet principal est d’étudier les comportements de cybersécurité, définis comme les comportements de gestion des cyber risques par les individus.

Un constat : une augmentation rapide des risques cyber

  • Les organisations du XXIème siècle font face à une croissance des flux financiers et d’information, les exposant du même coup à de nombreux risques cyber.
    Les entreprises sont de plus en plus ouvertes sur leur environnement par des moyens techniques, comme des sites internet ou une forte présence sur les réseaux sociaux. Cette ouverture exacerbée amène aussi son lot de risques en exposant les entreprises à des prédateurs utilisant les nombreuses failles de sécurité vers les systèmes d’information des entreprises. Cette ouverture se fait dans un contexte de révolution industrielle majeure associant pour la première fois des technologies de digitalisation très puissantes telles que le Cloud Computing, le Big Data et l’intelligence artificielle (IA).
  • Les organisations tissent des réseaux de partenaires économiques multiples et s’appuient sur des ressources humaines mobiles, diverses et même parfois mondialisées, autant d’ouvertures sur le monde qui génèrent une montée en puissance des risques cyber.Evidemment, ces risques sont perçus comme des opportunités par les criminels qui font chaque jour la preuve de leur capacité d’innovation criminelle.
  • La sécurité de l’information d’une entreprise ne dépend pas seulement des technologies mais aussi des facteurs humains tels que l’utilisation des nouvelles technologies par les employés ainsi que leur attitude face à la sécurité de l’information. Les partenaires (notamment les salariés) sont parfois d’une grande naïveté. Un exemple est la divulgation d’informations stratégiques par des employés sur les réseaux sociaux et donc en accès libre. L’utilisation d’appareils connectés pour des usages privés et professionnels pose aussi un enjeu de sécurité. En effet, un employé peut avoir des fichiers professionnels confidentiels sur son ordinateur personnel, alors que celui-ci n’est pas sécurisé.

Des convictions en matière de cybersécurité

Une première conviction est que la digitalisation de la société et de l’économie mondiale amène un changement exponentiel nécessitant une transformation des organisations et des pratiques du travail héritées du XXème siècle. Les effets combinés de l’IA artificielle, du cloud et du Big data vont davantage transformer l’entreprise que toutes les autres technologies avant elle, y compris Internet. Cette transformation s’accompagne d’une remise en cause de la stratégie des entreprises, de leur organisations interne, de la gestion des compétences, tout en s’accompagnant par une transformation des risques.

Une deuxième conviction est que les acteurs criminels seront demain de plus en plus nombreux et innovants aussi bien des Etats agressifs, des organisations criminelles, des entreprises concurrentes peu scrupuleuses, des groupes terroristes ou des pirates isolés.

Une autre conviction est que les conséquences de la cyber criminalité vont augmenter au point de fragiliser la pérennité de certaines organisations. Par exemple, suite à un piratage en 2017, l’entreprise américaine Equifax a subi une perte de capitalisation boursière de 3 milliards de dollars la même année.

Une quatrième conviction est que l’exposition aux cyber risques provient aussi bien de lacunes internes qu’externes. Des cyber risques externes peuvent provenir notamment des partenaires de l’entreprise, plus ou moins vigilants et actifs en matière de sécurité. En interne, la naïveté et la négligence ont été parfois la cause de catastrophes menant à des pertes de données cruciales.

Une dernière conviction est qu’il est essentiel de comprendre les comportements de cybersécurité et aussi les manières de faire changer ces comportements. La formation ou l’information ne semblent pas suffisantes pour faire prendre conscience des risques et des comportements adaptés. Devant l’inventivité des criminelles, les entreprises doivent elles-aussi innover dans leurs dispositifs de parade.