Assurer notre sécurité numérique, c’est, paradoxalement, savoir fonctionner sans numérique. En mode dégradé peut-être, et de façon provisoire, mais sans systèmes d’informations. C’est le point de vue iconoclaste de M. Jean-Claude Laroche, notre Invité de cette semaine, CIO de Enedis et co-auteur du rapport Cybersécurité du Cigref, association qui rassemble sur ces enjeux les 140 premières entreprises françaises, publiques et privées.
Jusqu’ici, nul n’avait oser envisager que les systèmes d’information de nos grandes entreprises puissent véritablement être détruits. Ni les entreprises elles-mêmes, ni leurs actionnaires, comme L’Hebdo des AG le montre dans l’inventaire de leurs questions. Admettre qu’aucun système ne peut s’affirmer invulnérable, c’est très nouveau.
Nouvelle aussi est la parade ultime : tenir prêt un sc&nario de crise où l’entreprise continuera à fonctionner, sans aucun système d’informations (le temps de réparer le système détruit). Nouvelle donc est la vision humaine qui rend ce « Plan B » possible. Car cela signifie être prêts à activer des façons de travailler avec des relations verbales, ou manuscrites – quand beaucoup d’entre nous échangent des mails ou des sms avec la personne du bureau d’à côté … quel ré-apprentissage de l’humain ! Cela signifie aussi totalement faire confiance à des personnes-clés qui sauront où est caché le « Plan B », puisqu’il n’est pas dans les systèmes d’informations … là aussi, quel ré-apprentissage de la confiance, dans un monde où la rotation des plus hauts managers s’accélère !
D’après notre Invité, très peu d’entreprises françaises sont prêtes, aujourd’hui, qu’il s’agisse du CAC 40, des entreprises plus petites ou des entreprises publiques. Leur priorité, pour l’instant, est de protéger leurs systèmes existants.
Dans les scénarios de simulation de crise, ceux sur lesquels s’entraînent concrètement les « comex », vont maintenant entrer les scénario où les systèmes d’informations seront détruits. Dans les Conseils d’Administration, on regroupe déjà les réflexions sur la Cybersécurité et l’Intelligence Artificielle. Rapprocher les deux, un paradoxe ? Pas tant que cela. La Cybersécurité consiste à accepter que la machine soit parfois détruite, et que l’humain sache assurer à sa place les tâches fondamentales ; l’Intelligence Artificielle consiste à accepter que la machine soit sur certains sujets plus performante que l’humain. Dans les deux cas, il s’agit d’accepter qu’humain et machine, aujourd’hui, ne s’opposent pas, bien au contraire. A l’échelle du Conseil d’Administration, l’enjeu est d’intégrer cette interdépendance.