in

Art de la guerre, leadership et cybersécurité | François Gratiolet pour DOCaufutur

La stratégie a d’abord été un Art de la Guerre avant de s’appliquer aux affaires économiques. Le texte le plus ancien en la matière est celui de Sun Tzu (l’Art de la Guerre), général chinois ayant vécu 500 ans avant J.C.

Certaines études ont démontré que les entreprises dont les dirigeants adoptent une approche et un discours militaire sont plus performantes que celles refusant de considérer leurs concurrents comme des ennemis. Il est possible de tirer dix leçons de l’Art de la Guerre.

Précédemment d’ordre opérationnel et technique, les enjeux de la cybersécurité englobent aussi bien des leviers de confiance et de développement d’affaires que ceux permettant de préserver et d’assurer la pérennité de l’entreprise. Au-delà de leur expertise métier, il appartient donc aux responsables en charge de la cybersécurité de comprendre les codes de la stratégie d’entreprise et de les intégrer dans leur discours et leurs actions.

Comment un responsable sécurité des systèmes d’information (RSSI) peut-il transposer les principes de l’Art de la Guerre à la cybersécurité ?

  1. Soyez un chef commandant fort et exemplaire pour mobiliser tout le potentiel cybersécurité de vos employés. En cas d’attaque cyber avérée, vos employés seront les premiers à réagir, et pour cela doivent formés et entraînés en conséquence
  2. Soyez prudent et faites des réserves budgétaires en cas de fuites de données, elles sont inéluctables à terme. Il s’agit de gérer au mieux l’incertitude
  3. Réalisez des analyses SWOT (Strengths Weaknesses Opportunities Threats) pour mieux comprendre votre organisation et la fonction cybersécurité elle-même ainsi que son environnement et vos “ennemis” cyber. Vous élaborerez ainsi une stratégie cybersécurité pleinement alignée avec les objectifs de votre organisation
  4. Renforcez vos cyber défenses avec de l’amélioration continue. La cybersécurité n’est pas une solution, un projet ponctuel mais un processus !
  5. Innovez, en collaborant par exemple avec des startups technologiques pour faire face aux nouveaux usages numériques et cyberattaques de plus en plus fréquentes et sophistiquées
  6. Cessez de copier ou de suivre vos pairs dans d’autres organisations. Les bonnes pratiques (et référentiels) de cybersécurité incitent les organisations à se « benchmarker » entre elles. Se benchmarker ne signifie pas copier ce que fait une autre organisation… Les bonnes pratiques nécessitent d’être déclinées en tenant compte de la chaîne de valeur de l’organisation et des enjeux métier. Ainsi, devenez le spécialiste de votre secteur d’activité en mettant en place un modèle opérationnel adapté à votre organisation, et maximiser ainsi la performance cybersécurité de votre organisation
  7. Développez des capacités et des offres cybersécurité adaptées fonctionnellement et économiquement aux besoins de vos lignes métier. Par exemple, proposer une solution d’authentification à 2 facteurs (2-FA) pour un groupe d’utilisateurs d’un service en ligne ayant une aversion aux risques faible.
  8. Pour résoudre vos problèmes d’aujourd’hui, n’utilisez pas les solutions d’hier ! L’IA vous sera d’une aide précieuse pour détecter des attaques jusqu’alors inconnues, diminuer le nombre de fausses positives, faire face au manque de ressources cybersécurité sur le marché….
  9. Diminuez votre complexité pour augmenter l’efficacité cybersécurité de votre organisation. Développez une offre lisible du reste de l’organisation, automatisez autant que possible les processus cybersécurité, adoptez une approche DevOps dans les projets cybersécurité…
  10. Mettez vos efforts et allouez les ressources aux bons endroits et au bon niveau en utilisant les outils de management stratégique (chaîne de valeur, force Porter, SWOT, matrice d’Eisenhower…). Protégez en priorité les “Joyaux de la Couronne”, c’est-à-dire les actifs qui créent le plus de valeur pour votre organisation

Aujourd’hui les RSSI doivent devenir des stratèges militaires pour gagner la guerre contre les cybercriminels et autres agents menaçants. Les organisations sont dans la ligne de mire d’attaques rapides qui compromettent en un instant les données de leurs clients et sabotent des services.

La mise en pratique des principes de l’art de la guerre renforcera à juste titre la posture de stratège et de dirigeant du RSSI. Les outils, les compétences et l’état d’esprit inspirés de la stratégie d’entreprise et militaire lui sont nécessaires ! En plus des apports méthodologiques, il s‘agit notamment d’acquérir un langage qui facilite la communication avec le conseil d’administration dirigeants, les comités de direction, les actionnaires … mais aussi l’ensemble des employés.

 

A propos de l’auteur

François Gratiolet est consultant en stratégie et marketing dans le domaine de la cybersécurité. Il est l’auteur de la formation “Leadership & cybersécurité”. Il est également membre de conseils d’administration de startups. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Telecom ParisTech (1999), il est certifié CISM, CISA et Risk Manager ISO 27005.  Il est membre de l’IFA et du groupe cybersécurité de Télécom ParisTech où il pilote l’initiative cyber assurance.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.