Rechercher
Rechercher

La RSE dans une société de cybersécurité : Quels choix stratégiques et quelles conséquences ?

RSE
Dossier : RSEMagazine N°751 Janvier 2020
Par Marie LE PARGNEUX
Par Laurent OUDOT

Gal­va­ni­sées par une hyper­con­nec­ti­vi­té, les cyber­me­naces se mul­ti­plient et ont un impact éco­no­mique et socié­tal crois­sant. En réac­tion, la demande de ser­vice explose, géné­rant un mar­ché énorme pour les firmes spé­cia­li­sées, mais elle pose de nou­veaux pro­blèmes éthiques : la pro­tec­tion des don­nées de l’entreprise donne du coup poten­tiel­le­ment accès pour des tiers à des don­nées sen­sibles… le risque de faire entrer le loup dans la ber­ge­rie est réel.

REPÈRES

Teh­tris est une entre­prise experte en cyber­sé­cu­ri­té. Elle a créé la solu­tion de cyber­dé­fense Teh­tris XDR Plat­form, déployée dans de nom­breux sec­teurs d’activité : indus­tries, banques, assu­rances, sup­ply chain, ingé­nie­rie, etc. Cette plate-forme glo­bale, en mode secu­ri­ty by desi­gn, 100 % fran­çaise, offre une exper­tise tech­nique de lutte contre le cybe­res­pion­nage et le cyber­sa­bo­tage, avec des experts opé­ra­tion­nels qui sur­veillent des infra­struc­tures dans le monde entier. L’entreprise est deve­nue membre du club Micro­soft Virus Ini­tia­tive et son moteur d’intelligence arti­fi­cielle scanne plus d’un mil­lion de fichiers par jour sur Virus­To­tal de Google. 

Teh­tris a été créée en 2010 par deux anciens de la DGSE, dont Laurent Oudot, exe­cu­tive mas­ter X 2018. Laurent a réa­li­sé un pro­jet d’équipe sur le déve­lop­pe­ment très rapide de l’entreprise, qui est pas­sée de 20 à 40 sala­riés au cours du pre­mier semestre 2019. Marie Le Par­gneux (exe­cu­tive mas­ter X 2018 et direc­trice des pro­grammes diri­geants du groupe BPCE), spé­cia­liste des ques­tions de mana­ge­ment, a contri­bué aux tra­vaux de cette équipe. Ces deux cama­rades se livrent ici à un dia­logue au croi­se­ment des ques­tions de mana­ge­ment et de « cyber­sé­cu­ri­té éthique », un nou­veau champ d’exploration pour la RSE.

Marie Le Par­gneux : Si je devais qua­li­fier la prin­ci­pale spé­ci­fi­ci­té du diri­geant aujourd’hui, je dirais que c’est avant tout un lea­der qui fait face à des ten­sions. Ten­sions entre un temps busi­ness court et une trans­for­ma­tion cultu­relle longue, entre cen­tra­li­sa­tion et décen­tra­li­sa­tion, entre prag­ma­tisme et rup­tures, entre auto­no­mie et contrôle, etc., dans un contexte de pro­fonds chan­ge­ments socié­taux, poli­tiques et éco­no­miques. Au cœur de ces ten­sions, la RSE, sou­vent ques­tion­née dans son lien avec la per­for­mance finan­cière, n’est plus – ou ne devrait plus être – une acti­vi­té connexe, dans un dépar­te­ment dédié, mais devrait au contraire s’intégrer dans la réflexion busi­ness. Avec votre socié­té, vous sem­blez avoir réflé­chi dès sa créa­tion à l’impact de vos pro­duits et de vos actions sur vos clients, et plus glo­ba­le­ment sur la socié­té. Que recouvre en fait cette idée de cyber­sé­cu­ri­té éthique ?

Laurent Oudot : La cyber­sé­cu­ri­té éthique est un concept encore émergent. On parle sou­vent de « hackers éthiques » et, dans le monde de la cyber­sé­cu­ri­té, la plu­part des acteurs s’arrêtent là. Le « hacker mal­veillant » est un pirate infor­ma­tique qui pénètre illé­ga­le­ment dans des sys­tèmes. À l’opposé, au sens noble, un « hacker éthique » contri­bue tech­ni­que­ment à la sécu­ri­té, notam­ment via des tests d’intrusion dans les sys­tèmes infor­ma­tiques afin d’y déce­ler des failles. Les défen­seurs pour­ront alors pro­té­ger leurs infra­struc­tures avant l’arrivée des véri­tables attaquants.

Une cyber­sé­cu­ri­té éthique va selon moi au-delà. Elle passe par exemple par le sou­ci de la confi­den­tia­li­té des don­nées des entre­prises clientes. Dans notre cas, nos sys­tèmes de pro­tec­tion pos­sèdent une couche de sécu­ri­té avan­cée, qui étan­chéi­fie l’accès aux don­nées sen­sibles du client. Curieu­se­ment, cer­tains pro­duits ajoutent des accès ris­qués vers les don­nées des entre­prises qui les adoptent. Nous refu­sons cette pra­tique, mal­gré la com­plexi­fi­ca­tion que cela entraîne pour le déve­lop­pe­ment tech­no­lo­gique de nos solu­tions. Depuis la créa­tion de Teh­tris en 2010, nous com­bi­nons tou­jours les concepts de secu­ri­ty by desi­gn et de pri­va­cy by design. 

M.L.P. : Mais du coup cela ne vous coûte-t-il pas plus cher en déve­lop­pe­ment ? Et cela ne vous fait-il pas perdre des occa­sions de contrat par mécon­nais­sance des don­nées du client ? Ce serait un cas où RSE et per­for­mance éco­no­mique ne vont pas ensemble…

L.O. : Oui et non… Nous avons pris des risques en com­bi­nant nos cri­tères de sécu­ri­té et d’éthique, avec des déve­lop­pe­ments ini­tiaux plus impor­tants et un retard poten­tiel sur cer­tains mar­chés. Nous avions l’intuition en retour que, pour les clients capables de se pro­je­ter dans nos sys­tèmes de valeurs et de qua­li­té, nous aurions une recon­nais­sance tech­no­lo­gique à rebours et une cer­taine fidé­li­té, ce qui s’est confir­mé. Néan­moins, dans cer­tains cas, pour les enti­tés qui acceptent une mise en dan­ger en adop­tant des pro­duits de sécu­ri­té moins peau­fi­nés ou sans ce niveau de res­pect, je recon­nais que la per­for­mance éco­no­mique est amoin­drie. C’est le prix à payer quand on pense sur le long terme, à charge pour nous de mieux par­ta­ger notre sys­tème de valeurs.

M.L.P. : Pour faire face à l’imprévisible en matière de cyber­sé­cu­ri­té, vous avez créé des robots logi­ciels défen­sifs, tels les smart sen­sors de l’industrie 4.0, com­bi­nés avec de l’intelligence arti­fi­cielle et une auto­ma­ti­sa­tion à outrance. Or l’actualité entraîne des ques­tion­ne­ments légi­times concer­nant l’impact des réseaux de neu­rones en matière d’éthique, compte tenu du risque de perte de contrôle par les humains. Quel posi­tion­ne­ment éthique avez-vous concer­nant l’intelligence arti­fi­cielle et ces robots logi­ciels défen­sifs automatiques ?

L.O. : Nous sommes très atten­tifs aux consé­quences de nos actions. Quand un virus incon­nu appa­raît dans le monde, ces agents peuvent le neu­tra­li­ser sans inter­ven­tion humaine, par exemple pour lut­ter contre les demandes de ran­çons (ran­som­ware). Dans cer­tains cas assez rares, nos robots logi­ciels défen­sifs pour­raient avoir à déci­der de détruire le tra­vail infec­té et non sau­ve­gar­dé d’un humain. Les débats sur la robo­tique et l’éthique sont sou­vent liés, et la pre­mière des trois règles pro­po­sées par Asi­mov sti­pu­lait qu’un robot ne peut ni por­ter atteinte à un être humain, ni, en res­tant pas­sif, per­mettre qu’un être humain soit expo­sé au dan­ger. Ain­si, dans le cybe­res­pace, s’organise la coha­bi­ta­tion entre les robots logi­ciels, l’intelligence arti­fi­cielle et les acti­vi­tés humaines. C’est un point d’attention très fort pour nous et ces fonc­tion­na­li­tés sont cou­plées avec une sûre­té para­mé­trable pour chaque client.

“La RSE n’est plus une activité annexe.”

M.L.P. : On est en droit de se deman­der si, fina­le­ment, la cyber­sé­cu­ri­té éthique est une demande expli­cite des clients et un véri­table avan­tage concur­ren­tiel. A prio­ri, aujourd’hui, pas encore suf­fi­sam­ment… Certes, la cyber­sé­cu­ri­té prend de plus en plus de place dans l’actualité. Je le vois dans dif­fé­rents sec­teurs d’activité, les diri­geants sont accul­tu­rés au risque encou­ru et se struc­turent pour y faire face, en termes de gou­ver­nance, d’équipes, d’outils. Pour autant, quand on creuse, le mar­ke­ting domine le mar­ché et peu nom­breux sont les clients qui s’interrogent sur la manière dont sont construits leurs sys­tèmes de protection.

L.O. : En fait, le manque d’engouement de nos clients ne nous freine pas. Nous sommes convain­cus de l’importance de notre enga­ge­ment à déployer une cyber­sé­cu­ri­té éthique, en nous posant des ques­tions à chaque inno­va­tion et à chaque nou­veau déve­lop­pe­ment infor­ma­tique : com­ment res­pec­ter – vrai­ment – la confi­den­tia­li­té des don­nées ? Ce que nous construi­sons per­met­tra-t-il d’assurer l’intégrité des per­sonnes et la conti­nui­té d’activité de nos clients en cas d’attaque, que ce soient des hôpi­taux, des banques, des assu­rances, des pro­duc­teurs ou dis­tri­bu­teurs d’énergie, des indus­tries, des ser­vices éta­tiques ? Com­ment assis­ter nos clients, qui doivent infor­mer les auto­ri­tés et par­ties pre­nantes concer­nées qu’ils ont été atta­qués, et quels seront les risques asso­ciés : une perte finan­cière en Bourse en cas de com­mu­ni­ca­tion mal maî­tri­sée, un impact néga­tif et durable sur l’image, etc. ?

Cette der­nière ques­tion s’est par exemple posée lorsque plu­sieurs mul­ti­na­tio­nales ont déployé nos pro­duits et que nous avons décou­vert qu’elles étaient espion­nées depuis quelques années par des atta­quants fur­tifs. Bien sûr – ne nous trom­pons pas – l’éthique est la « science de la morale », elle n’est pas coer­ci­tive et dépend d’un sys­tème de valeurs en pro­fonde trans­for­ma­tion. Adap­tée au monde numé­rique, elle engage à de nou­velles réflexions et il nous fau­dra mieux la spé­ci­fier pour mieux agir et pour nous adap­ter. En vue de cela, nous étu­dions la mise en place d’un comi­té d’éthique de la cybersécurité.

M.L.P. : Cette vision nou­velle de la cyber­sé­cu­ri­té déter­mine en par­tie la ges­tion des équipes, ain­si que le modèle orga­ni­sa­tion­nel et mana­gé­rial de votre entre­prise. Teh­tris compte aujourd’hui plus de 40 sala­riés, son effec­tif a dou­blé en un semestre et devrait encore dou­bler dans les mois qui viennent. Vous avez déci­dé de ne pas défi­nir de valeurs, contrai­re­ment à ce que font la plu­part des orga­ni­sa­tions. La vision d’une cyber­sé­cu­ri­té éthique implique une res­pon­sa­bi­li­sa­tion forte des col­la­bo­ra­teurs et donc des valeurs vécues plu­tôt qu’affichées. Le dia­logue vaut mieux que la com­mu­ni­ca­tion dans cet objectif.

L.O. : Oui, et c’est un tra­vail de tous les ins­tants, nous y consa­crons énor­mé­ment de temps.

M.L.P. : Mais alors, si en plus votre volon­té est de conser­ver une orga­ni­sa­tion rela­ti­ve­ment plate, afin d’éviter le syn­drome des « petits chefs » et la dilu­tion des res­pon­sa­bi­li­tés, vous avez un sacré défi à rele­ver. Ceux qui le sou­haitent pour­ront deman­der à prendre un rôle annexe à leur acti­vi­té. Petit à petit, cer­tains pour­raient deve­nir coor­don­na­teurs pla­ni­fi­ca­teurs, d’autres, coachs tech­niques ou encore « déve­lop­peurs de talents ». Déployer le « lea­der­ship res­pon­sable » envi­sa­gé n’est pas com­plè­te­ment natu­rel et simple car vos col­la­bo­ra­teurs ont vécu un modèle édu­ca­tif très des­cen­dant et fina­le­ment assez hié­rar­chique. Ils peuvent aspi­rer à un autre modèle tout en mani­fes­tant par­fois le besoin du confort d’un enca­dre­ment serré.

“Peu nombreux sont
les clients qui s’interrogent sur leurs systèmes
de protection.”

L.O. : Du point de vue de la gou­ver­nance et du mana­ge­ment, tout n’est pas abou­ti et, avec une équipe de plus en plus nom­breuse qui se déve­loppe à l’international, de nou­veaux chal­lenges nous attendent. Pour ter­mi­ner, notre démarche RSE ne serait pas com­plète si nous n’avions pas enga­gé des actions pour la pro­tec­tion de l’environnement, de manière plus « clas­sique » peut-être. Nous avons choi­si de nous ins­tal­ler dans un bâti­ment éco­res­pon­sable, conçu pour mini­mi­ser l’impact sur l’environnement, au sein de la cité de la pho­to­nique de Pes­sac, cer­ti­fiée ISO 14001, non loin du centre-ville bor­de­lais. Nous nous enga­geons aux petits gestes du quo­ti­dien qui limitent la consom­ma­tion d’énergie.

À titre d’exemple, en 2018, les 18 sala­riés ont uti­li­sé moins d’une ramette de papier d’impression [500 feuilles], nous visons une consom­ma­tion maxi­male de trois feuilles par sala­rié et par mois. Nous avons éga­le­ment mis en place une poli­tique d’achat res­pon­sable, avec la recherche de pro­duc­teurs locaux ou de maté­riaux recy­clés ou recy­clables. Nous avons obte­nu en jan­vier 2018 la recon­nais­sance au niveau Sil­ver du clas­se­ment Eco­Va­dis CSR (Cor­po­rate Social Res­pon­si­bi­li­ty).

M.L.P. : Avec la crois­sance, d’autres ten­sions et ques­tions appa­raî­tront. Fau­dra-t-il choi­sir un jour entre déve­lop­per de l’emploi et res­pec­ter cer­taines règles que nous qua­li­fions d’éthiques dans la cyber­sé­cu­ri­té ? Entre main­te­nir les inté­rêts d’un État et pro­té­ger ceux de ses citoyens ? Com­ment « struc­tu­rer sans rigi­di­fier » une orga­ni­sa­tion en forte crois­sance ? Com­ment gérer les sala­riés, aujourd’hui très enga­gés pour la cyber­sé­cu­ri­té éthique et la démarche RSE glo­bale mises en place par leur employeur, qui mani­fes­te­raient d’autres sou­haits ou chan­ge­raient de com­por­te­ments ? Nous savons déjà qu’il n’y aura pas de réponse par­faite et unique.

Quelques mots en commun pour conclure

Nous sommes convain­cus que les start-up qui se créent aujourd’hui, quels que soient leurs sec­teurs d’activité, peuvent et doivent tout de suite inté­grer les enjeux RSE dans le déve­lop­pe­ment de leurs affaires, dans l’accompagnement de leurs col­la­bo­ra­teurs et dans les inter­ac­tions avec l’ensemble de leurs par­ties pre­nantes. Nous croyons que les grands groupes peuvent s’inspirer des start-up pour révi­ser leur modèle, y com­pris dans ces domaines. Enfin, nous sommes convain­cus que le lea­der de demain est un lea­der res­pon­sable, qui pense le monde à long terme et agit en consi­dé­rant les géné­ra­tions futures, sans occul­ter le suc­cès éco­no­mique de son organisation.



Articles similaires :

RSE, le temps de l’action Les élèves de l’École inter­pellent le système Faire du busi­ness avec la RSE : le cas du pro­gramme « Accès à l’énergie » chez Schneider La RSE est morte, vive la RSE ! Un exemple concret de mise en œuvre de la RSE : le cas de Manexi

Poster un commentaire