Cela fait quelques années que la fonction cybersécurité n’est plus exclusivement une affaire de réponse technologique à des menaces. Avec la transformation numérique, elle a appris à dialoguer avec les métiers. À présent, ce sont les conseils d’administration et les juristes qui se l’approprient.
Dans un article récent, nous commentions les conclusions d’un rapport d’enquête du cabinet Gartner sur l’évolution de la fonction cybersécurité dans les entreprises. D’après cette enquête auprès d’administrateurs d’entreprises, d’ici 2025, 40 % des conseils d’administration auront un comité dédié à la cybersécurité, et supervisé par un membre qualifié du conseil, contre moins de 10 % aujourd’hui.
Contrairement à ce qu’a pu laisser croire l’article cité, et qui nous a valu quelques retours pour le moins indignés, il ne s’agit pas de déposséder ou de mettre sous tutelle les RSSI et les équipes de cybersécurité, mais plutôt d’intégrer la cybersécurité dans une démarche stratégique plus globale. En fait, la cybersécurité sort de son ghetto purement technologique pour acquérir une véritable dimension transversale. C’était déjà le cas avant le tournant de 2020 où les conseils d’administration, garants des performances de l’entreprise, ont incité la cybersécurité et les métiers à travailler ensemble. À présent, la démarche est poussée un peu plus loin.
La cybersécurité au deuxième rang des risques en 2021
Il est vrai que l’intensification des attaques et les quelques affaires retentissantes de ces dernières années, ainsi que les évolutions règlementaires, ont achevé de sortir la cybersécurité de son pré carré. Toujours selon l’enquête de Gartner, les administrateurs interrogés classent la cybersécurité au deuxième rang des sources de risque en 2021, et juste derrière vient la conformité. Dans une autre étude, l’Association of Corporate Counsel (l’association américaine des avocats qui exercent en entreprise) révèle que « cette année, pour la première fois, la cybersécurité a dépassé la conformité juridique en tant que problématique la plus importante à laquelle les entreprises sont confrontées, selon les directeurs juridiques d’entreprise ».
Et la préoccupation est mondiale, car les enquêteurs de l’ACC ont analysé les données de près de 1 000 directeurs juridiques dans 21 industries et 44 pays. Les répondants estiment que « la responsabilité de la cybersécurité et de la confidentialité des données relève désormais du directeur juridique dans près de la moitié des organisations interrogées, reflétant ainsi l’intégration croissante de la stratégie commerciale et des politiques technologiques ». Dans l’ordre des fonctions relevant du directeur juridique, seule la conformité juridique (74 %) dépasse la cybersécurité et la confidentialité des données (46 %), suivie par l’éthique de l’entreprise, l’évaluation des risques et les fonctions liées aux affaires gouvernementales.
D’après une autre étude de l’ACC sur la cybersécurité menée en 2020, 71 % des organisations ont placé leurs directeurs juridiques soit dans un rôle de leader en matière de stratégie liée à la cybersécurité, soit au sein d’une équipe ayant des responsabilités au niveau de ce même domaine. La même étude a également démontré que 18 % des organisations ont un juriste interne entièrement dédié à la cybersécurité, un chiffre qui est en hausse de 12 % par rapport à 2018.
Une conséquence de la judiciarisation de l’économie
L’irruption du juridique dans une fonction technique, en l’occurrence la cybersécurité, n’est pas un cas isolé par les temps qui courent. La judiciarisation de l’économie, du social et de l’environnemental amorcent un mouvement général qui met la conformité juridique au premier rang des préoccupations des décideurs. Les entreprises sont à présent jugées sur des critères de gouvernance économiques, sociaux, sociétaux et environnementaux. Et les juges les plus sévères ne sont pas toujours des professionnels des prétoires. Les activistes des réseaux sociaux, les polémistes des plateaux télé et autres sophistes des temps modernes sont des juges bien plus implacables.
Ces enjeux, qui dépassent les préoccupations corporatistes, donnent une dimension stratégique à chaque décision, allant de l’impact de la fabrication de nouveaux produits aux initiatives en matière de diversité et d’inclusion, en passant par la réévaluation de la chaîne d’approvisionnement et aux attentes des investisseurs. C’est le prix à payer pour assurer sa conformité à des normes juridiques nombreuses, complexes et aussi diverses que les marchés qu’elles protègent.