Les nations sont-elles prêtes à pallier les défaillances de la cybersécurité ?

L’intervention des pouvoirs publics dans le domaine de la cybersécurité nécessite un cadre structuré et prédéfini

Lorsque les gouvernements interviennent pour sauver des entreprises après des cyberincidents, l’action peut sembler décisive, mais elle peut aussi rompre l’équilibre entre la politique publique et la responsabilité du marché. Ciaran Martin, président du comité technique du Cyber Monitoring Center et Distinguished Fellow du RUSI, a été clair à ce sujet lors d’une récente discussion. Il a remis en question la garantie de prêt de 1,5 milliard de livres sterling accordée par le gouvernement britannique à Jaguar Land Rover à la suite d’une cyberattaque majeure. Selon lui, de telles interventions sans cadre défini créent un précédent incertain.

Une structure prévisible pour l’implication de l’État aiderait les gouvernements et les entreprises à savoir à quoi s’attendre lorsque des attaques importantes se produisent. Ce cadre pourrait s’appuyer sur des seuils, tels que l’ampleur de l’impact sur la sécurité nationale ou la stabilité économique, qui justifient une aide publique. Il pourrait également définir les modalités de cette aide, qu’il s’agisse de prêts, d’assurances ou d’autres formes d’assistance. L’objectif n’est pas de mettre un terme à l’aide publique, mais de veiller à ce qu’elle s’inscrive dans des limites bien définies.

Pour les dirigeants, c’est important. Des politiques claires réduisent l’ambiguïté et indiquent comment l’État et le secteur privé partagent les responsabilités. Les entreprises peuvent mieux planifier lorsqu’elles connaissent les règles d’engagement. Elles encouragent également les investissements privés dans la cybersécurité au lieu de dépendre de l’intervention incertaine des pouvoirs publics. Dans un environnement où l’infrastructure numérique sous-tend des économies entières, la structure et la prévisibilité ne sont pas des signes de bureaucratie, mais des garanties pour la résilience nationale.

Le paysage de l’assurance cybernétique est confronté à une importante lacune en matière de couverture, qui nécessite une collaboration entre les secteurs public et privé.

Aujourd’hui, l’assurance cybernétique ne correspond pas totalement à la réalité financière des cyberrisques modernes. Tracey Paul, responsable de la stratégie et de la communication chez Pool Re, a expliqué que l’écart entre les pertes économiques potentielles et ce que les assureurs peuvent couvrir ne cesse de se creuser. Le problème n’est pas seulement une question de financement, mais aussi d’échelle. Les pertes liées à une cyberattaque de grande ampleur peuvent dépasser la capacité financière des assureurs privés, laissant aux gouvernements le soin d’absorber le choc.

Cette lacune exige un partenariat entre le gouvernement, les assureurs et l’écosystème cybernétique au sens large. Le modèle d’assurance comprend déjà une structure préfinancée avec un filet de sécurité : si les assureurs épuisent leurs fonds, le gouvernement intervient en accordant des prêts pour couvrir les pertes. Toutefois, cette approche manque de souplesse et d’évolutivité face aux nouvelles formes de cybermenaces de grande ampleur, interconnectées, qui peuvent toucher simultanément des secteurs entiers.

Les hauts responsables doivent se concentrer sur la manière dont cette collaboration peut évoluer vers un modèle de partage des risques. Les gouvernements apportent la stabilité et le levier politique, les assureurs fournissent les mécanismes financiers et l’expertise en matière de modélisation des risques, et les organisations privées contribuent à l’amélioration de leurs propres défenses. Un partenariat bien conçu répartit plus équitablement les responsabilités et renforce la résilience collective.

Pour les dirigeants d’entreprises internationales, il est essentiel de comprendre cette évolution de l’écosystème. Les modèles d’assurance du passé étaient conçus pour des risques isolés. Aujourd’hui, les cyberrisques sont en réseau, continus et capables de provoquer des perturbations économiques à grande échelle. Les entreprises qui s’engagent très tôt dans des partenariats entre le gouvernement et l’industrie seront mieux placées pour influencer l’élaboration des politiques et obtenir des options de couverture plus durables pour l’avenir.

Les cyberattaques présentent des risques systémiques capables de perturber des économies entières

Les cyberattaques ont dépassé le stade de l’événement informatique isolé. Elles touchent désormais le cœur opérationnel des industries et peuvent affecter les économies nationales. Erik Avakian, conseiller technique à l’Info-Tech Research Group, a décrit comment la cyberattaque contre Jaguar Land Rover a mis en évidence cette réalité. L’attaque a perturbé la production et mis en évidence la dépendance des chaînes de fabrication et d’approvisionnement modernes à l’égard de l’infrastructure numérique. Les conséquences ne se sont pas limitées aux temps d’arrêt ou à la perte de données, elles se sont étendues à l’économie dans son ensemble par l’arrêt des exportations, l’impact sur l’emploi et la perte de productivité.

Les dirigeants ne peuvent pas se permettre de traiter la cybersécurité comme un poste technique. Elle affecte la continuité économique et la compétitivité nationale. Les attaques visant les secteurs de la fabrication, de l’énergie, de la logistique ou de la finance peuvent avoir des effets d’entraînement qui vont bien au-delà de la brèche initiale. Pour les dirigeants, la compréhension de cette interdépendance est essentielle à la planification stratégique.

La cyber-résilience, qui garantit la poursuite des opérations même en cas de perturbation, devrait faire partie de tout cadre de continuité des activités. Pour les dirigeants, la question n’est plus de savoir si leur organisation pourrait être touchée, mais quelle serait l’ampleur de l’impact. En investissant dans des systèmes de récupération plus solides, des capacités de séparation des données et des procédures de réponse rapide aux incidents, les entreprises peuvent protéger à la fois leurs résultats et l’économie au sens large dont elles dépendent.

Les gouvernements prennent conscience de ce risque systémique, mais le leadership du secteur privé reste la première et la plus efficace ligne de défense. La collaboration entre les industries et les frontières nationales définira la prochaine phase de maturité en matière de cybersécurité. Ceux qui s’y préparent protégeront non seulement leurs propres opérations, mais aussi la stabilité à long terme de leurs marchés et de leurs réseaux d’approvisionnement.

Les renflouements publics peuvent inciter à la négligence et créer un aléa moral.

Lorsque les gouvernements interviennent pour couvrir des pertes informatiques massives, ils envoient un signal, parfois involontaire, selon lequel les entreprises critiques ne seront pas autorisées à faire faillite. Ciaran Martin et Erik Avakian ont tous deux soulevé cette question. Ils estiment que l’aide financière accordée par l’État pourrait inciter certaines organisations à réduire leurs investissements dans la cybersécurité. Si une entreprise s’attend à ce que le gouvernement la protège après une violation catastrophique, sa motivation à maintenir des défenses internes robustes s’affaiblit.

Cela crée ce que les économistes appellent un risque moral. Les entreprises se croient à l’abri de toutes les conséquences du risque et adaptent leur comportement en conséquence. Ce changement les rend plus vulnérables, ainsi que l’ensemble de l’écosystème. Les attaquants, sachant que les enjeux sont plus importants autour de ces entités « protégées », pourraient intensifier leurs efforts, augmentant ainsi le risque global pour la stabilité nationale et économique.

Les dirigeants doivent considérer qu’il s’agit d’une question de leadership et de responsabilité, et pas seulement d’une question financière. L’aide gouvernementale peut parfois être inévitable dans des cas extrêmes, mais elle ne peut pas remplacer la responsabilité de l’entreprise. La réputation et la résilience d’une entreprise reposent sur une action proactive, et non sur un renflouement réactif.

La voie à suivre doit privilégier la transparence et le partage des responsabilités. Les gouvernements devraient préciser les conditions dans lesquelles ils interviendront, et les entreprises devraient faire preuve d’un engagement mesurable en faveur de normes de cybersécurité solides. Pour les dirigeants, cet équilibre entre indépendance et collaboration définit la crédibilité à long terme. Un investissement soutenu dans la cybersécurité, par le biais d’une évaluation continue, de l’innovation et de la formation de la main-d’œuvre, reste le moyen le plus efficace de rester protégé sans dépendre des filets de sécurité gouvernementaux.

La dépendance excessive à l’égard des assurances et des plans de sauvetage compromet la maturité à long terme de la cybersécurité

S’appuyer trop fortement sur les cyber-assurances et les renflouements gouvernementaux affaiblit la santé à long terme de la posture de sécurité d’une entreprise. David Shipley, PDG de Beauceron Security, l’a clairement indiqué lorsqu’il a critiqué la tendance croissante à compenser le risque de cybersécurité par des mécanismes financiers plutôt que par des améliorations technologiques et culturelles. Il a averti que le modèle d’assurance a encouragé les organisations à choisir l’indemnisation plutôt que la prévention, ce qui a pour effet d’augmenter l’ampleur et la fréquence des attaques.

Les dirigeants doivent comprendre que le paiement d’une couverture ne peut pas remplacer un investissement durable dans les principes fondamentaux de la sécurité. Les défenses telles que l’authentification multifactorielle, la segmentation du réseau, la formation des employés et la simulation de réponse sont des outils qui ont fait leurs preuves pour réduire l’exposition réelle. Lorsque ces investissements sont négligés au profit de mesures réactives, il en résulte une organisation qui semble préparée financièrement mais qui reste fragile sur le plan opérationnel.

Les dirigeants devraient considérer la maturité de la cybersécurité non pas comme un centre de coûts, mais comme un signe de discipline opérationnelle. Les assureurs et les gouvernements peuvent contribuer à réduire les dommages après un incident, mais la première ligne de protection doit être pilotée par l’entreprise. Les stratégies cybernétiques matures intègrent les décisions en matière de sécurité à tous les niveaux de l’entreprise, depuis les achats et la conception des produits jusqu’aux discussions sur les risques au sein du conseil d’administration.

L’avertissement de M. Shipley devrait être pris au sérieux dans tous les secteurs d’activité. Lorsque des mécanismes de récupération financière remplacent des investissements significatifs en matière de sécurité, c’est l’ensemble de l’écosystème du marché qui s’affaiblit. Les dirigeants qui considèrent la sécurité comme une nécessité opérationnelle intégrée, plutôt que comme un risque remboursable, seront ceux qui assureront la stabilité et la confiance dans un environnement de menaces en constante évolution.

Pour une gestion efficace des cyberrisques, il est essentiel de donner la priorité à la résilience plutôt qu’à la couverture supposée.

La résilience, et pas seulement la protection, est devenue la mesure déterminante de la préparation à la cybersécurité. Comme l’ont souligné les experts dans ce domaine, la capacité à maintenir les opérations en cas de perturbation est aussi essentielle que la prévention des brèches. Cet état d’esprit exige des organisations qu’elles intègrent la réponse aux incidents, la continuité des activités et les capacités de récupération dans leurs opérations quotidiennes, et non comme des ajouts d’urgence.

Pour les dirigeants, la planification de la résilience doit porter sur l’ensemble du cycle de vie d’un cyber-événement, depuis la détection et le confinement jusqu’à la communication et la restauration. Les stratégies de résilience efficaces reposent sur des responsabilités claires, des procédures de réponse éprouvées et une collaboration étroite entre les équipes informatiques, opérationnelles et exécutives. L’objectif est de s’assurer que, même en cas d’attaque, l’entreprise conserve ses fonctions essentielles, la transparence et la confiance des parties prenantes.

Les recherches menées par l’industrie soutiennent cette approche. Les organisations qui formalisent des programmes de résilience et organisent régulièrement des exercices de réponse se rétablissent toujours plus rapidement et subissent des pertes financières moins importantes. L’intégration de la résilience dans les cadres de gouvernance transforme la cybersécurité d’une obligation défensive en un avantage stratégique pour l’entreprise.

Les chefs d’entreprise devraient considérer la résilience comme un marqueur de maturité et de crédibilité. Elle témoigne d’un contrôle, d’une prévoyance et d’une concentration, autant de qualités que les marchés et les investisseurs récompensent. L’aide de l’État ou les assurances peuvent jouer un rôle dans les scénarios catastrophiques, mais les entreprises qui résistent et se rétablissent rapidement sont celles qui considèrent la résilience comme un objectif opérationnel essentiel. À une époque où les cybermenaces se multiplient, la survie appartient à ceux qui planifient la continuité, et pas seulement l’indemnisation.

Principaux enseignements pour les dirigeants

• Établir des cadres d’intervention clairs pour les gouvernements : Les gouvernements ont besoin de critères prédéfinis pour savoir quand et comment réagir aux cyberincidents majeurs. Les dirigeants devraient plaider en faveur de politiques structurées qui clarifient les rôles des secteurs public et privé et empêchent les renflouements ad hoc qui faussent l’obligation de rendre des comptes.
• Combler le déficit de couverture de l’assurance cybernétique grâce à la collaboration : Le modèle d’assurance actuel ne peut pas absorber entièrement les pertes cybernétiques à grande échelle. Les dirigeants devraient soutenir des partenariats plus solides entre les gouvernements, les assureurs et les entreprises afin de créer des cadres évolutifs à risques partagés.
• Traiter les cybermenaces comme des risques économiques systémiques : Les cyberincidents perturbent désormais des chaînes d’approvisionnement entières et des économies nationales. Les dirigeants doivent intégrer la planification de la résilience dans les stratégies d’entreprise et les stratégies nationales de gestion des risques afin de minimiser l’impact financier en cascade.
• Éviter la dépendance à l’égard des renflouements gouvernementaux : Les mesures de sauvetage prises par l’État risquent de donner l’impression que les entreprises critiques sont protégées en dépit de toute négligence en matière de sécurité. Les équipes dirigeantes doivent veiller à investir durablement dans la cybersécurité afin de réduire l’aléa moral et de maintenir la confiance du marché.
• Investissez dans la maturité de la cybersécurité : Le recours excessif à l’assurance affaiblit les défenses de l’organisation et encourage la complaisance. Les dirigeants devraient intégrer la gouvernance de la sécurité dans chaque fonction de l’entreprise afin de renforcer la résilience à long terme.
• Faites de la résilience opérationnelle une priorité stratégique essentielle : Une véritable cyberpréparation implique de maintenir les opérations pendant et après les attaques. Les dirigeants doivent mettre en place des programmes de résilience à l’échelle de l’entreprise qui combinent la prévention, la réponse et la récupération afin de préserver la continuité des activités.