61,5% : c’est l’écart entre les salaires des métiers liés à la cyber-sécurité en France et aux Etats-Unis[1]. Un chiffre vertigineux qui souligne la différence de considération et de maturité entre ces deux pays dès lors qu’il s’agit de sécurité de l’information. Derrière cet état de fait, il est question d’organisation et de gouvernance, que ce soit au sein des entreprises et au niveau étatique. Comment la France peut-elle rattraper son retard en la matière ?
Loin derrière les USA et la Chine
La différence de salaires n’est que l’illustration du niveau auquel la problématique sécuritaire est prise en compte dans les entreprises. En France, la cybersécurité reste l’affaire des informaticiens et des DSI. Aux Etats-Unis ou en Chine, elle s’envisage au niveau de la direction générale et du comité exécutif.
Pour comprendre le modèle américain, prenons l’exemple des tests d’intrusion (pentesting)qui permettent d’évaluer la sécurité d’un système d’information ou d’un réseau informatique. En France, la plupart des tests sont réalisés par des hackers éthiques, c’est-à-dire des personnes qui mettent leurs compétences au service des entreprises dans une logique de défense. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ne peut aujourd’hui traiter toutes les demandes, en constante augmentation. Ainsi trois plateformes privées indépendantes opèrent aujourd’hui une grande partie de ces tests en France: Hacker one, Yogosha et Yes we hack. Nombre d’intermédiaires plus ou moins spécialisés font appel à leurs services. Si la qualité de leur prestation n’est évidemment pas à remettre en cause, l’organisation de ce marché en France pose question. En effet, aux Etats-Unis, ce sont les structures étatiques ou les services internes des entreprises qui se sont dotées des moyens humains et informatiques pour réaliser ces tests. L’organisation de ces sujets aux Etats-Unis y est globalisée et globalisante.
Derrière chaque démarche informatique, il y a une démarche intellectuelle humaine. Cela pourrait être la devise de l’approche chinoise. Par opposition à la logique globalisante américaine qui traite le sujet sécuritaire au plus haut niveau, la démarche chinoise segmente la remontée d’information, l’analyse et la prise de décision. Chaque citoyen et chaque entreprise est invité à rester en veille pour imaginer d’où pourrait venir une menace. L’idée est de rester à l’écoute en permanence des signaux faibles. La République populaire de Chine a même légiféré en la matière : sa loi sur la cybersécurité (LCS) vise à renforcer la protection à plusieurs niveaux (MLPS) ainsi que les obligations de localisation des données, ceci en favorisant les auto-évaluations de cybersécurité des acteurs, y compris étatiques.
Sur ces questions de sécurité informatique, bien qu’elle soit en train de rattraper son retard avec les OIV (opérateurs d’importance vitale), la France reste, dans son tissu économique et industriel, encore bien loin des niveaux de maturité américain et asiatique. Elle doit s’en inspirer pour trouver sa propre voie. L’exemple du futur cyber campus français localisé dans le quartier de La Défense sur le modèle du cyberspark israélien est un bon début. Cependant cela passe aussi et surtout par une meilleure considération du capital immatériel des entreprises.
Protéger le capital immatériel de l’entreprise
De nos jours, la valorisation d’une entreprise repose essentiellement sur la somme de ses actifs (ses bâtiments, fonds de commerce, brevets, créances, etc.). EnFrance, l’analyse du risque a encore tendance à se focaliser sur ce qui a un impact financier, dans une logique de rentabilité pour les actionnaires. Or la valeur d’une entreprise repose aussi sur d’autres aspects comme sa gestion des connaissances, ses procédures, ses talents et leur capital intellectuel, son plan de reprise d’activité en cas d’attaque, etc. Ce capital immatériel n’est pas financièrement valorisé et n’est par conséquent que peu protégé. Cela constitue une grave erreur de gouvernance.
En effet, observons la situation au sein d’un laboratoire de recherche par exemple.Il dispose d’un capital intellectuel composé de toutes les connaissances de ses chercheurs. Certaines sont traduites en brevets (et apparaissent donc dans l’actif de l’entreprise), mais d’autres sont juste répertoriées sur des fichiers divers dans les ordinateurs des collaborateurs. Bien que non financier(pour l’instant), l’intérêt de ces documents est majeur et compte pour l’avenir du laboratoire. Cependant, comme toute cette connaissance n’est pas forcément formalisée et outillée, les analyses de cybersécurité traditionnelles peuvent passer à côté dans la mise en place des procédures de réduction des risques.D’où l’importance d’envisager la gouvernance globale et systémique de la cybersécurité non pas seulement d’un point de vue informatique, mais bien à un niveau plus élevé de l’entreprise.
La France se doit de mieux considérer la cyber-sécurité,et d’encourager les bonnes pratiques. Pourquoi ne pas normaliser les usages des entreprises les plus performantes en la matière ? Il serait temps de mettre en place des procédures de gouvernance et de recommandations fortes, et ainsi d’être davantage attractifs pour les profils les plus talentueux du marché.L’expérience des uns doit servir à tous. Les problématiques de sécurité informatique doivent désormais intégrer les échanges stratégiques entre dirigeants et entre entreprises. Cette expérience de la cybersécurité est un capital immatériel majeur, indispensable à la souveraineté des entreprises.C’est aussi notre vision au sein de Cognitive Companions.
[1] D’après une étude ISDécisions https://www.isdecisions.fr/salaires-cybersecurite-usa-france/
