La RSE dans une société de cybersécurité : Quels choix stratégiques et quelles conséquences ?

Dossier : RSEMagazine N°751 Janvier 2020
Par Marie LE PARGNEUX
Par Laurent OUDOT

Gal­vanisées par une hyper­con­nec­tiv­ité, les cyber­me­n­aces se mul­ti­plient et ont un impact économique et socié­tal crois­sant. En réac­tion, la demande de ser­vice explose, générant un marché énorme pour les firmes spé­cial­isées, mais elle pose de nou­veaux prob­lèmes éthiques : la pro­tec­tion des don­nées de l’entreprise donne du coup poten­tielle­ment accès pour des tiers à des don­nées sen­si­bles… le risque de faire entr­er le loup dans la berg­erie est réel.


REPÈRES

Tehtris est une entre­prise experte en cyber­sécu­rité. Elle a créé la solu­tion de cyberdéfense Tehtris XDR Plat­form, déployée dans de nom­breux secteurs d’activité : indus­tries, ban­ques, assur­ances, sup­ply chain, ingénierie, etc. Cette plate-forme glob­ale, en mode secu­ri­ty by design, 100 % française, offre une exper­tise tech­nique de lutte con­tre le cyberes­pi­onnage et le cybersab­o­tage, avec des experts opéra­tionnels qui sur­veil­lent des infra­struc­tures dans le monde entier. L’entreprise est dev­enue mem­bre du club Microsoft Virus Ini­tia­tive et son moteur d’intelligence arti­fi­cielle scanne plus d’un mil­lion de fichiers par jour sur Virus­To­tal de Google. 


Tehtris a été créée en 2010 par deux anciens de la DGSE, dont Lau­rent Oudot, exec­u­tive mas­ter X 2018. Lau­rent a réal­isé un pro­jet d’équipe sur le développe­ment très rapi­de de l’entreprise, qui est passée de 20 à 40 salariés au cours du pre­mier semes­tre 2019. Marie Le Pargneux (exec­u­tive mas­ter X 2018 et direc­trice des pro­grammes dirigeants du groupe BPCE), spé­cial­iste des ques­tions de man­age­ment, a con­tribué aux travaux de cette équipe. Ces deux cama­rades se livrent ici à un dia­logue au croise­ment des ques­tions de man­age­ment et de « cyber­sécu­rité éthique », un nou­veau champ d’exploration pour la RSE.

Marie Le Pargneux : Si je devais qual­i­fi­er la prin­ci­pale spé­ci­ficité du dirigeant aujourd’hui, je dirais que c’est avant tout un leader qui fait face à des ten­sions. Ten­sions entre un temps busi­ness court et une trans­for­ma­tion cul­turelle longue, entre cen­tral­i­sa­tion et décen­tral­i­sa­tion, entre prag­ma­tisme et rup­tures, entre autonomie et con­trôle, etc., dans un con­texte de pro­fonds change­ments socié­taux, poli­tiques et économiques. Au cœur de ces ten­sions, la RSE, sou­vent ques­tion­née dans son lien avec la per­for­mance finan­cière, n’est plus – ou ne devrait plus être – une activ­ité con­nexe, dans un départe­ment dédié, mais devrait au con­traire s’intégrer dans la réflex­ion busi­ness. Avec votre société, vous sem­blez avoir réfléchi dès sa créa­tion à l’impact de vos pro­duits et de vos actions sur vos clients, et plus glob­ale­ment sur la société. Que recou­vre en fait cette idée de cyber­sécu­rité éthique ?

Lau­rent Oudot : La cyber­sécu­rité éthique est un con­cept encore émer­gent. On par­le sou­vent de « hack­ers éthiques » et, dans le monde de la cyber­sécu­rité, la plu­part des acteurs s’arrêtent là. Le « hack­er malveil­lant » est un pirate infor­ma­tique qui pénètre illé­gale­ment dans des sys­tèmes. À l’opposé, au sens noble, un « hack­er éthique » con­tribue tech­nique­ment à la sécu­rité, notam­ment via des tests d’intrusion dans les sys­tèmes infor­ma­tiques afin d’y décel­er des failles. Les défenseurs pour­ront alors pro­téger leurs infra­struc­tures avant l’arrivée des véri­ta­bles attaquants.

Une cyber­sécu­rité éthique va selon moi au-delà. Elle passe par exem­ple par le souci de la con­fi­den­tial­ité des don­nées des entre­pris­es clientes. Dans notre cas, nos sys­tèmes de pro­tec­tion pos­sè­dent une couche de sécu­rité avancée, qui étanchéi­fie l’accès aux don­nées sen­si­bles du client. Curieuse­ment, cer­tains pro­duits ajoutent des accès risqués vers les don­nées des entre­pris­es qui les adoptent. Nous refu­sons cette pra­tique, mal­gré la com­plex­i­fi­ca­tion que cela entraîne pour le développe­ment tech­nologique de nos solu­tions. Depuis la créa­tion de Tehtris en 2010, nous com­bi­nons tou­jours les con­cepts de secu­ri­ty by design et de pri­va­cy by design. 

M.L.P. : Mais du coup cela ne vous coûte-t-il pas plus cher en développe­ment ? Et cela ne vous fait-il pas per­dre des occa­sions de con­trat par mécon­nais­sance des don­nées du client ? Ce serait un cas où RSE et per­for­mance économique ne vont pas ensemble…

L.O. : Oui et non… Nous avons pris des risques en com­bi­nant nos critères de sécu­rité et d’éthique, avec des développe­ments ini­ti­aux plus impor­tants et un retard poten­tiel sur cer­tains marchés. Nous avions l’intuition en retour que, pour les clients capa­bles de se pro­jeter dans nos sys­tèmes de valeurs et de qual­ité, nous auri­ons une recon­nais­sance tech­nologique à rebours et une cer­taine fidél­ité, ce qui s’est con­fir­mé. Néan­moins, dans cer­tains cas, pour les entités qui acceptent une mise en dan­ger en adop­tant des pro­duits de sécu­rité moins peaufinés ou sans ce niveau de respect, je recon­nais que la per­for­mance économique est amoin­drie. C’est le prix à pay­er quand on pense sur le long terme, à charge pour nous de mieux partager notre sys­tème de valeurs.

M.L.P. : Pour faire face à l’imprévisible en matière de cyber­sécu­rité, vous avez créé des robots logi­ciels défen­sifs, tels les smart sen­sors de l’industrie 4.0, com­binés avec de l’intelligence arti­fi­cielle et une automa­ti­sa­tion à out­rance. Or l’actualité entraîne des ques­tion­nements légitimes con­cer­nant l’impact des réseaux de neu­rones en matière d’éthique, compte tenu du risque de perte de con­trôle par les humains. Quel posi­tion­nement éthique avez-vous con­cer­nant l’intelligence arti­fi­cielle et ces robots logi­ciels défen­sifs automatiques ?

L.O. : Nous sommes très atten­tifs aux con­séquences de nos actions. Quand un virus incon­nu appa­raît dans le monde, ces agents peu­vent le neu­tralis­er sans inter­ven­tion humaine, par exem­ple pour lut­ter con­tre les deman­des de rançons (ran­somware). Dans cer­tains cas assez rares, nos robots logi­ciels défen­sifs pour­raient avoir à décider de détru­ire le tra­vail infec­té et non sauve­g­ardé d’un humain. Les débats sur la robo­t­ique et l’éthique sont sou­vent liés, et la pre­mière des trois règles pro­posées par Asi­mov stip­u­lait qu’un robot ne peut ni porter atteinte à un être humain, ni, en restant pas­sif, per­me­t­tre qu’un être humain soit exposé au dan­ger. Ain­si, dans le cybere­space, s’organise la cohab­i­ta­tion entre les robots logi­ciels, l’intelligence arti­fi­cielle et les activ­ités humaines. C’est un point d’attention très fort pour nous et ces fonc­tion­nal­ités sont cou­plées avec une sûreté paramé­tra­ble pour chaque client.

“La RSE n’est plus une activité annexe.”

M.L.P. : On est en droit de se deman­der si, finale­ment, la cyber­sécu­rité éthique est une demande explicite des clients et un véri­ta­ble avan­tage con­cur­ren­tiel. A pri­ori, aujourd’hui, pas encore suff­isam­ment… Certes, la cyber­sécu­rité prend de plus en plus de place dans l’actualité. Je le vois dans dif­férents secteurs d’activité, les dirigeants sont accul­turés au risque encou­ru et se struc­turent pour y faire face, en ter­mes de gou­ver­nance, d’équipes, d’outils. Pour autant, quand on creuse, le mar­ket­ing domine le marché et peu nom­breux sont les clients qui s’interrogent sur la manière dont sont con­stru­its leurs sys­tèmes de protection.

L.O. : En fait, le manque d’engouement de nos clients ne nous freine pas. Nous sommes con­va­in­cus de l’importance de notre engage­ment à déploy­er une cyber­sécu­rité éthique, en nous posant des ques­tions à chaque inno­va­tion et à chaque nou­veau développe­ment infor­ma­tique : com­ment respecter – vrai­ment – la con­fi­den­tial­ité des don­nées ? Ce que nous con­stru­isons per­me­t­tra-t-il d’assurer l’intégrité des per­son­nes et la con­ti­nu­ité d’activité de nos clients en cas d’attaque, que ce soient des hôpi­taux, des ban­ques, des assur­ances, des pro­duc­teurs ou dis­trib­u­teurs d’énergie, des indus­tries, des ser­vices éta­tiques ? Com­ment assis­ter nos clients, qui doivent informer les autorités et par­ties prenantes con­cernées qu’ils ont été attaqués, et quels seront les risques asso­ciés : une perte finan­cière en Bourse en cas de com­mu­ni­ca­tion mal maîtrisée, un impact négatif et durable sur l’image, etc. ?

Cette dernière ques­tion s’est par exem­ple posée lorsque plusieurs multi­na­tionales ont déployé nos pro­duits et que nous avons décou­vert qu’elles étaient espi­onnées depuis quelques années par des attaquants fur­tifs. Bien sûr – ne nous trompons pas – l’éthique est la « sci­ence de la morale », elle n’est pas coerci­tive et dépend d’un sys­tème de valeurs en pro­fonde trans­for­ma­tion. Adap­tée au monde numérique, elle engage à de nou­velles réflex­ions et il nous fau­dra mieux la spé­ci­fi­er pour mieux agir et pour nous adapter. En vue de cela, nous étu­dions la mise en place d’un comité d’éthique de la cybersécurité.

M.L.P. : Cette vision nou­velle de la cyber­sécu­rité déter­mine en par­tie la ges­tion des équipes, ain­si que le mod­èle organ­i­sa­tion­nel et man­agér­i­al de votre entre­prise. Tehtris compte aujourd’hui plus de 40 salariés, son effec­tif a dou­blé en un semes­tre et devrait encore dou­bler dans les mois qui vien­nent. Vous avez décidé de ne pas définir de valeurs, con­traire­ment à ce que font la plu­part des organ­i­sa­tions. La vision d’une cyber­sécu­rité éthique implique une respon­s­abil­i­sa­tion forte des col­lab­o­ra­teurs et donc des valeurs vécues plutôt qu’affichées. Le dia­logue vaut mieux que la com­mu­ni­ca­tion dans cet objectif.

L.O. : Oui, et c’est un tra­vail de tous les instants, nous y con­sacrons énor­mé­ment de temps.

M.L.P. : Mais alors, si en plus votre volon­té est de con­serv­er une organ­i­sa­tion rel­a­tive­ment plate, afin d’éviter le syn­drome des « petits chefs » et la dilu­tion des respon­s­abil­ités, vous avez un sacré défi à relever. Ceux qui le souhait­ent pour­ront deman­der à pren­dre un rôle annexe à leur activ­ité. Petit à petit, cer­tains pour­raient devenir coor­don­na­teurs plan­i­fi­ca­teurs, d’autres, coachs tech­niques ou encore « développeurs de tal­ents ». Déploy­er le « lead­er­ship respon­s­able » envis­agé n’est pas com­plète­ment naturel et sim­ple car vos col­lab­o­ra­teurs ont vécu un mod­èle édu­catif très descen­dant et finale­ment assez hiérar­chique. Ils peu­vent aspir­er à un autre mod­èle tout en man­i­fes­tant par­fois le besoin du con­fort d’un encadrement serré.

“Peu nombreux sont
les clients qui s’interrogent sur leurs systèmes
de protection.”

L.O. : Du point de vue de la gou­ver­nance et du man­age­ment, tout n’est pas abouti et, avec une équipe de plus en plus nom­breuse qui se développe à l’international, de nou­veaux chal­lenges nous atten­dent. Pour ter­min­er, notre démarche RSE ne serait pas com­plète si nous n’avions pas engagé des actions pour la pro­tec­tion de l’environnement, de manière plus « clas­sique » peut-être. Nous avons choisi de nous installer dans un bâti­ment écore­spon­s­able, conçu pour min­imiser l’impact sur l’environnement, au sein de la cité de la pho­tonique de Pes­sac, cer­ti­fiée ISO 14001, non loin du cen­tre-ville bor­de­lais. Nous nous enga­geons aux petits gestes du quo­ti­di­en qui lim­i­tent la con­som­ma­tion d’énergie.

À titre d’exemple, en 2018, les 18 salariés ont util­isé moins d’une ram­ette de papi­er d’impression [500 feuilles], nous visons une con­som­ma­tion max­i­male de trois feuilles par salarié et par mois. Nous avons égale­ment mis en place une poli­tique d’achat respon­s­able, avec la recherche de pro­duc­teurs locaux ou de matéri­aux recy­clés ou recy­clables. Nous avons obtenu en jan­vi­er 2018 la recon­nais­sance au niveau Sil­ver du classe­ment Eco­Vadis CSR (Cor­po­rate Social Respon­si­bil­i­ty).

M.L.P. : Avec la crois­sance, d’autres ten­sions et ques­tions appa­raîtront. Fau­dra-t-il choisir un jour entre dévelop­per de l’emploi et respecter cer­taines règles que nous qual­i­fions d’éthiques dans la cyber­sécu­rité ? Entre main­tenir les intérêts d’un État et pro­téger ceux de ses citoyens ? Com­ment « struc­tur­er sans rigid­i­fi­er » une organ­i­sa­tion en forte crois­sance ? Com­ment gér­er les salariés, aujourd’hui très engagés pour la cyber­sécu­rité éthique et la démarche RSE glob­ale mis­es en place par leur employeur, qui man­i­festeraient d’autres souhaits ou chang­eraient de com­porte­ments ? Nous savons déjà qu’il n’y aura pas de réponse par­faite et unique.

Quelques mots en commun pour conclure

Nous sommes con­va­in­cus que les start-up qui se créent aujourd’hui, quels que soient leurs secteurs d’activité, peu­vent et doivent tout de suite inté­gr­er les enjeux RSE dans le développe­ment de leurs affaires, dans l’accompagnement de leurs col­lab­o­ra­teurs et dans les inter­ac­tions avec l’ensemble de leurs par­ties prenantes. Nous croyons que les grands groupes peu­vent s’inspirer des start-up pour révis­er leur mod­èle, y com­pris dans ces domaines. Enfin, nous sommes con­va­in­cus que le leader de demain est un leader respon­s­able, qui pense le monde à long terme et agit en con­sid­érant les généra­tions futures, sans occul­ter le suc­cès économique de son organisation.

Poster un commentaire