Mercredi 9 décembre, l’Agence européenne des médicaments était victime d’une cyberattaque au cours de laquelle des documents liés à Pfizer et BioNTech étaient piratés. Il y a quelque semaines, Sopra Steria  faisait l’objet d’une demande de rançon cyber dont le coût estimé serait de 40 millions d’euros. Ces épisodes récents rappellent que l’un des risques les plus majeurs portés par les organisations aujourd’hui, tant publiques que privées, est celui de l’attaque cyber. 

 

Dans la cartographie des risques, le risque cyber occupe une place particulière. A la croisée des technologies les plus sophistiquées, de l’intelligence économique, de la gouvernance ainsi que de la vie opérationnelle de l’entreprise, il ne s’inscrit dans aucune grille de lecture traditionnelle. Constituant une crise aigüe appelant une gestion rapide et maitrisée, il est essentiel de le « déconstruire » afin de l’appréhender et d’en maîtriser les conséquences nocives, redoutées par les entreprises, notamment d’un point de vue réputationnel.

Du point des instances de gouvernance, la cyber-agression présente de nombreuses particularités. Elle ne répond à aucun des codes conventionnels de l’affrontement, notamment en raison des difficultés spécifiques d’identification de l’adversaire empêchant toute forme de dénonciation ou de saisine d’un régulateur, ou de conception d’une riposte générique. 

De son côté, le dirigeant ignore souvent les motivations de l’attaque, qui peut s’inscrire dans une stratégie plus large, un vol de données dans une bataille concurrentielle, une tentative de perturbation du lancement d’un produit innovant, une manifestation parmi d’autres dans un contexte de guerre économique entre deux pays ou encore, une contestation idéologique à l’encontre de l’activité d’une entreprise.

Par ailleurs, le client dont les données ont pu être dérobées ou altérées se considère à la fois victime de l’attaque subie par l’entreprise et victime de la négligence de cette dernière en ce qu’elle aurait échoué à préserver les informations qui lui ont été confiées. Le dirigeant endosse ainsi le double rôle, quelque peu paradoxal, de victime et de coupable, à l’égard de l’agresseur et du client. Il en résulte qu’il ne peut s’en remettre aux balises habituelles, devant agir « hors cadre » en faisant fonctionner à plein son discernement.  

Le rôle du dirigeant et de la gouvernance, en amont de l’attaque, est d’autant plus capital que l’inconnu est d’une magnitude importante. La vulnérabilité cyber, dont le conseil d’administration doit se saisir impérativement, exige ainsi une vigilance particulière, en s’assurant notamment que les fonds alloués à la mise en place d’une protection élargie sont à la mesure de l’enjeu tant dans son contenu que dans sa temporalité.

Son attitude en aval, quant à elle, se révèle vitale. L’étude des comportements de marché et des consommateurs démontre que la confiance en l’entreprise et ses dirigeants qui réussissent la gestion de la crise peut être restaurée. Ceux qui auront privilégié l’honnêteté, la réactivité, une communication intelligente et pédagogue ainsi que la transparence en mettant notamment en place une plateforme de dialogue avec les employés, les actionnaires et les consommateurs, sont perçus comme diligents ex post facto.

De manière plus philosophique, le défi cyber réitère l’émergence d’une nouvelle forme de décision dite complexe et soulève une question majeure : comment le processus décisionnel peut-il intégrer tous les éléments pertinents à la décision, dont certains sont par essence hypothétiques, voire inconnus dans leur contenu et leur temporalité?

Comment s’assurer de la pertinence de la décision de crise et de son acceptabilité, constantes fondamentales de notre époque de redevabilité et de transparence ?

Fondés sur la seule rationalité et l’hyper segmentation du savoir particulièrement prégnant en Occident, conformément à l’héritage de Descartes aux dépens de la pensée holistique de Pascal, les modèles modernes de prise de décision semblent impuissants à prendre en compte la pensée complexe.

Or, dans cet océan d’incertitudes caractérisant l’univers des risques contemporains, une certitude se dégage, celle de l’inflation inéluctable des crises, que celles-ci soient sanitaires, environnementales, économiques, sociales, financières, obligeant les dirigeants, tant publics que privés, à revisiter leur modèle de gestion de crise construit sur une fréquence de crise espacée.

La dématérialisation et la désincarnation de la cyber-agression placent l’humain en son centre, les capacités cognitives prenant le pas sur les compétences purement normatives. Certains en appellent à l’intuition comprise comme l’intelligence de l’émotionnel. Cependant, elle constitue une prise de conscience immédiate et individuelle et peut conduire à de graves erreurs d’appréciation. Nous lui préférons la notion de discernement, c’est-à-dire la faculté de « reconnaître » distinctement et d’arbitrer de façon contextuelle, notamment dans une situation de crise.

Dans un monde en proie à l’inflation de l’information et des risques, le pouvoir et la légitimité n’appartiennent plus au sachant, à l’expert mais au dirigeant qui sait faire preuve de discernement, en injectant notamment une vision partagée et une faculté à appréhender des situations complexes. 

Le discernement constitue la boussole de la prise de décision complexe, déliée des repères classiques, auquel le dirigeant peut se raccrocher parce qu’il est le plus à même de lui offrir une appréhension holistique.

 

<<< A lire également :  Risques Cyber, La Face Cachée Du Télétravail >>>