Cyber baudruche
Les promesses protectionnistes à coup de murs de barrières tarifaires outre-Atlantique, ou les rêves indépendantistes du Brexit pourront en séduire plus d’un. Mais derrière ces fantasmes se cache difficilement la réalité: l’île déserte en autarcie se révèle vite un îlot (de cherté) bien trop petit, et les remparts bien illusoires au regard de nos échanges commerciaux mondialisés, dont la digitalisation tend à effacer les frontières.
Dans ce contexte d’interconnexion croissante, les acheteurs sont en première ligne, notamment pour sécuriser les échanges d’informations de l’entreprise avec la galaxie de ses fournisseurs. Un sujet de plus en plus critique, difficile à appréhender, et encore davantage à maîtriser.
Concrètement, la vulnérabilité d’une entreprise face aux cyber-risques prend trois formes principales. La première, qui existait bien avant internet, est celle du vol d’informations confidentielles. L’espionnage industriel, l’intelligence économique ou l’usurpation d’identité ne sont pas nouveaux, mais amplifiés par la fluidité toujours plus grande des échanges d’information. La deuxième, la plus brutale, vise directement les moyens de production pour les paralyser, les rendre inopérants voire PEXles détruire. L’attaque des usines d’enrichissement d’uranium en Iran en est un exemple célèbre. Sans aller si loin, un sabotage à distance de l’alimentation électrique suffirait à faire basculer n’importe quelle entreprise dans le pire des cauchemards. La troisième, la forme la plus en vogue actuellement, est la prise en otage de données en vue d’une rançon. Notre addiction au numérique est tellement forte que, tel un drogué, nous se-rions prêt à payer n’importe quel prix pour nous y reconnecter. Essayez de travailler une journée complète sans accès internet pour voir...
Ensuite, l’entreprise est vulnérable à différents échelons:
Dans nos opérations propres, il ne tient qu’à nous d’investir dans des outils, bonnes pratiques informatiques, antivirus, VPN, etc. C’est un minimum, mais loin d’être infaillible, à l’instar de la Grande muraille numérique chinoise. Il restera toujours le facteur humain, et dans les faits, «le poisson pourrit toujours par la tête». En effet, le sommet hiérarchique est souvent doublement vulnérable, d’une part s’il s’autorise à déroger aux processus (utilisation d’e-mail personnel par exemple), et d’autre part par son accès aux informations les plus sensibles et aux leviers de pouvoir.
Dans nos ramifications externes: le maillon faible est souvent l’un de nos fournisseurs. Ainsi, c’est au travers de ses fournisseurs qu’Airbus a été attaqué début 2019. A force d’externaliser, la surface attaquable enfle toujours plus, tel un ballon de baudruche que le moindre petit trou d’épingle réduira à néant.
Encore moins contrôlables, nos anciens fournisseurs (sans parler de tous ceux que nous avons consulté sans les retenir) détiennent des informa-tions parfois précieuses. Comment croyez-vous que les Paradise papers et autres Panama papers ont pu voir le jour?
Quoi qu’il en soit, c’est un risque qui mérite notre attention. Signe des temps, l’offre d’assurance des cyber-risques se développe et se structure. Une corde de plus à l’arc (la harpe?) des acheteurs!
Aymeric Duprez
Le cofondateur d’ADXL se consacre à obtenir mieux des fournisseurs, comme acheteur mercenaire au service des PME et comme formateur achats, pour procure.ch notamment. Aymeric Duprez cultive une vision pragmatique, exigeante et chrétienne de la relation commerciale, dans une dynamique compétitive pour amener l’acheteur à «acheter mieux que son concurrent!».
