Lorsqu'un responsable qualité confirmé trouve qu'un assistant numérique est tout simplement génial, même après 18 ans d'activité, on est en droit de se demander ce que cet outil a de si bon ?
Si l'on en croit les recherches des psychologues Daniel Kahneman et Amos Tversky ("Judgement Under Uncertainty" ; Cambridge Univ. Press 1982), les gens ne craignent pas le risque, mais les pertes. Quelle est l'influence de ce mécanisme comportemental sur les organisations et la gestion des risques ?
Dans un monde de plus en plus interconnecté, la cybersécurité reste l'un des principaux défis des entreprises. Le besoin de la penser de manière stratégique et globale est plus grand que jamais.
Quels sont les quatre principaux défis auxquels sont confrontées les entreprises ? Et surtout, comment peuvent-elles concrètement renforcer leur résilience ?
L'évolution rapide de la technologie n'apporte pas seulement des progrès, mais aussi de nouvelles menaces. D'une part, l'IA générative peut être un outil puissant, mais elle permet aussi aux cybercriminels de créer des e-mails de phishing ou des deepfakes extrêmement convaincants qui peuvent facilement contourner les systèmes de sécurité traditionnels. En outre, il apparaît d'ores et déjà que les progrès des ordinateurs quantiques pourraient rendre les méthodes de cryptage traditionnelles obsolètes à l'avenir.
Pour faire face à ces défis, les entreprises doivent agir de manière proactive. La modernisation de l'infrastructure informatique, qui comprend à la fois des solutions de sécurité basées sur l'IA et des technologies de cryptage à sécurité quantique, est un facteur décisif. Le rapport Kyndryl Readiness[1] montre que 86% des entreprises considèrent leur mise en œuvre de l'IA comme étant de premier ordre, mais qu'en même temps, seulement 29% pensent que leurs systèmes d'IA sont prêts à faire face aux risques futurs. Il est donc clair qu'une planification stratégique et une innovation continue sont nécessaires pour anticiper les menaces émergentes et utiliser au mieux les technologies existantes.
L'un des principaux défis auxquels sont confrontées les organisations est la fragmentation entre les domaines de la sécurité et de l'entreprise, qui entraîne souvent des inefficacités et des risques accrus.
Des systèmes de gestion efficaces tels que l'ISO 27001 offrent une approche structurée pour surmonter ces silos en reliant les stratégies de sécurité aux objectifs commerciaux globaux. L'établissement d'un système de gestion de la sécurité de l'information (SMSI) aide à définir des processus et des responsabilités clairs et à promouvoir la collaboration entre les secteurs informatique, sécurité et commercial. Parallèlement, la norme ISO 27001 favorise une culture d'amélioration continue qui permet aux organisations de réagir avec souplesse aux nouvelles menaces et de répondre efficacement aux exigences réglementaires.
Malgré les progrès technologiques, les personnes restent toutefois un facteur essentiel. Des programmes de formation structurés, tels que des simulations de phishing ou des formations sur l'utilisation sécurisée des mots de passe, augmentent la cybervigilance à tous les niveaux de l'organisation. En sensibilisant aux risques de sécurité et en encourageant la participation active, les employés peuvent mieux identifier les menaces potentielles et y réagir. La combinaison de systèmes de gestion efficaces et d'un personnel bien informé renforce la capacité des organisations à réduire les risques et à accroître leur résilience.
La multitude d'outils de sécurité disponibles peut donner l'impression que plus d'outils signifient automatiquement plus de protection. En réalité, cela conduit souvent à une complexité excessive qui rend la vue d'ensemble difficile et favorise les failles de sécurité. Une plateforme de sécurité consolidée qui intègre différentes fonctions peut y remédier. En centralisant les données et les processus de sécurité, les entreprises peuvent identifier les menaces et y réagir plus rapidement. Des tableaux de bord uniformes et des flux de travail automatisés améliorent l'efficacité et réduisent les erreurs humaines. De plus, une telle plate-forme permet aux responsables de la sécurité de se concentrer sur des tâches stratégiques au lieu d'investir de précieuses ressources dans la gestion de solutions individuelles. En outre, une solution consolidée offre une transparence essentielle pour les audits internes et externes.
Le plus grand obstacle à une stratégie de cybersécurité globale est souvent de nature organisationnelle : le manque de soutien de la part de la direction. Selon le rapport Kyndryl Readiness, 69% des grandes entreprises font état d'un manque de soutien critique de la part de leur conseil d'administration. En outre, 73% des responsables de la sécurité indiquent que leur conseil d'administration ne s'intéresse pas activement à la préparation de leur organisation en matière de cybersécurité. Sans l'implication active du conseil d'administration et du niveau C, la cybersécurité reste donc souvent un sujet isolé.
Les stratégies de promotion de la cyber-connaissance au niveau de la direction comprennent des rapports réguliers sur les risques de sécurité et leur impact potentiel sur l'entreprise. Un aperçu compréhensible du retour sur investissement (ROI) des investissements en matière de sécurité peut également être convaincant. Des ateliers et des simulations de cyber-attaques pour les cadres supérieurs peuvent en outre les sensibiliser à l'urgence de la question.
Une autre mesure importante est la nomination d'un Chief Information Security Officer (CISO) qui rapporte directement à la direction (voir également l'article p. 34). Cela garantit que la cybersécurité est ancrée comme un objectif stratégique et ne reste pas seulement au niveau opérationnel.
La cybersécurité est devenue une nécessité commerciale stratégique. Face à un paysage de menaces de plus en plus complexe et dynamique, les entreprises doivent adopter une approche holistique et à long terme de leurs stratégies de sécurité et de cyber-résilience. Les quatre défis décrits - des nouvelles menaces aux silos organisationnels en passant par les lacunes stratégiques au niveau de la direction - illustrent la complexité de cette tâche.
Les entreprises qui relèvent ces défis ne se contentent pas de renforcer leurs lignes de défense, elles obtiennent un solide avantage concurrentiel. En associant la cybersécurité à des objectifs commerciaux plus larges, elles ne comblent pas seulement l'écart entre la sécurité perçue et la sécurité réelle, mais se positionnent pour un succès durable dans un monde de plus en plus numérisé.
[1] https://www.kyndryl.com/content/dam/kyndrylprogram/doc/en/2024/kyndryl-readiness-report.pdf
Auteur
Maria Kirschner est vice-présidente et directrice générale de Kyndryl Alps. Kyndryl affirme être l'un des plus grands fournisseurs mondiaux de services d'infrastructure informatique pour des milliers d'entreprises clientes dans plus de 60 pays.
La directive NIS2 dans l'UE et la nouvelle loi sur la sécurité de l'information (LSI) en Suisse apportent de nouvelles exigences en matière de cybersécurité. Cela concerne également la gestion de la qualité.
L'intégration des cyber-risques dans la gestion des risques à l'échelle de l'entreprise est essentielle pour rendre les entreprises résistantes aux défis de la transformation numérique. Le Chief Information Security Officer (CISO) joue un rôle central à cet égard.
Dans la jungle des dangers numériques, il faut plus qu'une simple lampe de poche. La cybersécurité doit devenir une compétence clé de l'entreprise.
En raison de la mondialisation de l'informatique, ce sont surtout des termes techniques anglais qui sont utilisés pour parler de la cybersécurité et des sources de danger : attaques de phishing basées sur l'IA, credential stuffing, web-scraping, skewing, DDoS et DNS-scrubbing, et ainsi de suite. Le simple fait de les lire provoque déjà des maux de tête, du moins si l'on n'est pas familier avec et dans le monde virtuel des données et de la communication. Et cela arrive souvent dans les petites entreprises. En effet, il n'y a ni chef de la sécurité ni responsable informatique, ces services sont généralement confiés à des spécialistes et des agences externes, ou l'on "se débrouille" comme on peut dans ce domaine. Les deux approches ont aussi des inconvénients : Les agences externes gardent leur expertise pour elles et créent ainsi une dépendance. Et "se débrouiller tout seul" comporte justement les risques susmentionnés, dont on ne sait tout simplement pas assez de choses et dont on ne peut donc pas se protéger.
Pour donner une idée de l'ampleur du phénomène, voici un bref résumé des menaces évoquées : Le terme "phishing" (vient de "fishing") désigne les tentatives de se faire passer pour un partenaire de communication fiable via des e-mails ou des sites web falsifiés. L'objectif des escrocs est d'inciter les utilisateurs d'Internet à se connecter à des mondes publicitaires falsifiés et à y laisser, le cas échéant, des données confidentielles telles que des mots de passe ou des noms d'utilisateur.
Le credential stuffing est une cyberattaque automatisée et souvent répétitive dans laquelle les pirates tentent d'accéder aux données d'arrière-plan d'un site web de manière largement automatisée à l'aide de bots (vient du mot anglais "robot"). Cela est en partie légal et souhaitable pour que les moteurs de recherche puissent identifier et publier les informations demandées. Mais il existe également des méthodes nuisibles de ce processus appelé web scraping : les données sont utilisées de manière abusive, falsifiées ou envoyées dans le Darknet.
Les attaques par skewing, dont le verbe anglais to skew signifie déformer, s'inscrivent également dans cette logique. Les pirates tentent de falsifier les informations et les statistiques obtenues via les données d'analyse Web, par exemple de Google Analytics. Il ne s'agit donc pas de vol de données, mais d'inciter les entreprises cibles à prendre de mauvaises décisions commerciales en raison des données manipulées. Et enfin DDoS ; ce terme signifie Distributed Denial of Service (littéralement déni de service distribué) et décrit les cyberattaques qui provoquent des pannes de sites web au moyen de demandes artificielles et répétitives. Des services dits de "scrubbing" s'y opposent en identifiant ce type de trafic nuisible et en empêchant la surcharge des systèmes. Et ce ne sont pas là tous les dangers, loin s'en faut. Comment les petites et moyennes entreprises peuvent-elles s'en prémunir ?
La première étape consiste à regarder de plus près et de plus près, car le vol ou l'utilisation abusive d'informations numériques internes à l'entreprise est devenu la fraude la plus fréquemment signalée, bien plus que le vol physique. Ainsi, qu'une entreprise ait adopté le cloud computing ou qu'elle n'envoie que deux ou trois e-mails par semaine, la cybersécurité est devenue une compétence clé, même pour les plus petites entreprises. La tâche clé pour tout manager responsable est donc de créer une culture de la sécurité.
L'étape 1 a déjà été abordée à plusieurs reprises dans M&Q : quelle que soit la génération à laquelle on appartient, il faut s'imprégner du sujet et s'y intéresser. Cela ne signifie pas qu'un supérieur doit tout comprendre ou tout maîtriser, mais qu'il doit avoir une vue d'ensemble du sujet, des influences externes et internes, des opportunités et des défis, et éventuellement des éléments budgétaires. Si, au sein de l'équipe, des personnes plus jeunes et ayant une plus grande affinité avec le numérique prennent en charge certaines tâches, c'est tout à fait acceptable. Mais le chef doit connaître l'ensemble de la situation.
La première mesure à prendre est de garder son système propre. Cela implique de nettoyer régulièrement les anciennes données, d'installer les logiciels de sécurité les plus récents et d'installer les mises à jour des logiciels dès qu'elles sont disponibles. Les logiciels antivirus doivent être configurés de manière à ce qu'ils effectuent automatiquement un scan après chaque mise à jour. Et cela va également de pair avec la nécessité de sauvegarder toutes les données de l'entreprise au moins une fois par semaine et de les stocker en externe. Les documents les plus importants comprennent les dossiers du personnel, les fichiers financiers et la comptabilité clients et fournisseurs ; puis également les documents de traitement de texte. Ne pas le faire, c'est en fin de compte faire preuve de négligence grave.
Grâce à la compréhension de base acquise par l'apprentissage, un responsable doit aujourd'hui être en mesure de définir les pratiques et les directives de base en matière de sécurité pour l'entreprise et les collaborateurs. Cela comprend des droits d'accès au système et aux données clairement définis, des mots de passe sûrs, des directives pour l'utilisation d'Internet (même pendant le temps libre passé au bureau) et des règles de conduite concernant les données de l'entreprise et les informations sur les clients.
Assez sous-estimé : les appareils mobiles privés peuvent également poser d'importants problèmes de sécurité, en particulier s'ils contiennent des informations confidentielles ou s'ils peuvent accéder au réseau de l'entreprise. Les collaborateurs devraient protéger de tels appareils au moyen d'un mot de passe, crypter les données ou installer des applications de sécurité. Il en va de même pour les ordinateurs portables qui peuvent facilement être volés ou perdus. Chaque employé devrait avoir un compte d'utilisateur séparé ; et les mots de passe correspondants ne devraient être attribués que par un personnel informatique compétent.
Le réseau WLAN interne de l'entreprise peut également être une source potentielle d'inquiétude. Il doit être crypté, accessible uniquement avec un mot de passe et configuré à l'aide d'un routeur de manière à ce que le nom du réseau (SSID, le soi-disant Service Set Identifier) ne soit pas transmis.
D'une manière ou d'une autre, tous les mots de passe sont des zones d'attaque potentielles : ils doivent donc, premièrement, être créés de manière complexe. Cela signifie qu'ils doivent comporter au moins huit caractères et quatre types de caractères différents (majuscules, minuscules, chiffres et caractères spéciaux). Deuxièmement, les mots de passe sensibles devraient être modifiés tous les trois mois, y compris ceux des appareils privés des collaborateurs. Et troisièmement, pour les données sensibles, il existe la possibilité d'une authentification à facteurs multiples, qui nécessite d'autres informations que le mot de passe. Certaines banques, par exemple, proposent de tels services à leurs clients.
La cybersécurité est une compétence clé - et on ne peut l'éclairer correctement qu'avec une lampe de poche puissante.
Auteur
Daniel Tschudy est journaliste, conférencier et conseiller dans le secteur de l'accueil. Il s'occupe également d'autres thèmes liés aux nouvelles dimensions de la collaboration mondiale.
La SAQ Swiss Association for Quality a eu l'occasion de tester un outil d'IA innovant, conçu pour améliorer les systèmes de qualité intégrés.
Lors du FOREP 2024, elle a parlé de la manière dont l'IA générative change le travail dans les entreprises : Nina Habicht. Dans l'interview, la jeune entrepreneuse en IA explique plus en détail comment l'interaction entre l'homme et la machine doit fonctionner.
L'intelligence artificielle est en train de transformer de nombreux domaines de notre vie. Grâce à des outils d'IA générative comme ChatGPT, de plus en plus de processus de travail peuvent être automatisés et simplifiés, y compris dans la recherche et le développement. Mais à quel prix ?
Une nouvelle technologie pousse les informations du système de gestion directement vers les collaborateurs, juste à temps et en fonction du contexte.
Dans cet entretien, le président de l'ISO, le Dr Sung Hwan Cho, partage sa vision du rôle de l'ISO dans la résolution des défis mondiaux.
Le Forep 2024 a réuni quelque 220 personnes au Swiss Tech Convention Center à Lausanne autour du thème "la Qualité intelligente". Ce seul adjectif, "intelligent", emmène presque naturellement, depuis quelques années, notre esprit vers l'IA. Cette dernière a pris une large place dans cette journée du 7 novembre, mais sans jamais reléguer l'intelligence humaine. Et, ce dans un mouvement perpétuel d'aller-retour.
