Alors que les organisations et les individus sont chaque jour de plus en plus interconnectés et dépendants des technologies de l’information, les cyber risques explosent. Le début du XXIème siècle a vu la multiplication des piratages de grande ampleur. Ainsi rien qu’en 2017, des entreprises comme Uber, la SEC, Equifax, Deloitte, Cdiscount, Renault ou l’Université de Stanford ont annoncé avoir été victimes de hackers. Une étude récente a montré que 68% des entreprises françaises avaient été victimes d’une fraude dans les 24 derniers mois, sachant que 53% des fraudes concernent la cybercriminalité. Plus alarmant encore, la moitié des Américains a été touchée par un piratage en 2017. Les nations, organisations et individus peuvent être fragilisés par des cyber crimes, des crimes dans lesquels une expertise cyber est utilisée pour violer la loi.
Face à cette croissance des cyber risques, le cadre légal a évolué fortement. La directive sur la sécurité des réseaux et des systèmes d’information (adoptée le 6 juillet 2016, connue sous l’appellation "directive NIS", Network and Information Systems) prévoit le renforcement des capacités nationales de cyber sécurité et établit un cadre formel de coopération entre États membres. Ces exigences se trouvent renforcées par le contexte réglementaire actuel, notamment concernant la protection des données, qui évolue dans le sens d’une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (règlement européen sur la protection des données personnelles) qui entrera en vigueur en mai 2018.
Dans un tel contexte brûlant, Audencia a mis en place une chaire "Anti-Fraude et Cybersécurité". Son objet principal est d’étudier les comportements de cybersécurité, définis comme les comportements de gestion des cyber risques par les individus.
Une première conviction est que la digitalisation de la société et de l’économie mondiale amène un changement exponentiel nécessitant une transformation des organisations et des pratiques du travail héritées du XXème siècle. Les effets combinés de l’IA artificielle, du cloud et du Big data vont davantage transformer l’entreprise que toutes les autres technologies avant elle, y compris Internet. Cette transformation s’accompagne d’une remise en cause de la stratégie des entreprises, de leur organisations interne, de la gestion des compétences, tout en s’accompagnant par une transformation des risques.
Une deuxième conviction est que les acteurs criminels seront demain de plus en plus nombreux et innovants aussi bien des Etats agressifs, des organisations criminelles, des entreprises concurrentes peu scrupuleuses, des groupes terroristes ou des pirates isolés.
Une autre conviction est que les conséquences de la cyber criminalité vont augmenter au point de fragiliser la pérennité de certaines organisations. Par exemple, suite à un piratage en 2017, l’entreprise américaine Equifax a subi une perte de capitalisation boursière de 3 milliards de dollars la même année.
Une quatrième conviction est que l’exposition aux cyber risques provient aussi bien de lacunes internes qu’externes. Des cyber risques externes peuvent provenir notamment des partenaires de l’entreprise, plus ou moins vigilants et actifs en matière de sécurité. En interne, la naïveté et la négligence ont été parfois la cause de catastrophes menant à des pertes de données cruciales.
Une dernière conviction est qu’il est essentiel de comprendre les comportements de cybersécurité et aussi les manières de faire changer ces comportements. La formation ou l’information ne semblent pas suffisantes pour faire prendre conscience des risques et des comportements adaptés. Devant l’inventivité des criminelles, les entreprises doivent elles-aussi innover dans leurs dispositifs de parade.