Keri Pearlson, chercheuses au sein de la MIT Sloan Management School, a contribué à populariser la notion de « culture cyber ». Car pour elle, répondre aux cybermenaces, et désormais aux risques liés à l’IA générative, ne doit pas être qu’une succession d’outils technologiques. Il faut à ses yeux faire en sorte que toute l’organisation, à commencer par le PDG, prenne en considération ce sujet, et mettre en place des process qui engagent les salariés.
LA TRIBUNE – Vous appelez les dirigeants à se mobiliser davantage sur la cybersécurité. Vous entendent-ils ?
KERI PEARLSON – Les incidents continuent d’augmenter et la plupart des grandes entreprises ont déjà été confrontées à des cyberattaques. Les dirigeants sont donc plus sensibilisés qu’il y a quelques années. Mais surtout, les conseils d’administration s’emparent désormais du sujet, car ils s’intéressent directement aux risques qui pèsent sur l’entreprise, et une cyberattaque peut avoir des conséquences considérables. Lorsqu’un conseil d’administration s’en saisit, le PDG n’a plus d’autre choix que d’agir. Mon objectif est donc aussi de donner aux dirigeants des outils pour structurer une véritable culture de la cybersécurité. Pour le moment, c’est souvent le DSI, qui présente les outils déployés ou le nombre de contrôles mis en place. Mais on parle peu des risques concrets : quels sont les scénarios critiques ? Comment s’y préparer ? Et surtout, que fait-on le jour où une attaque survient ? Cela ne supprimera jamais totalement le risque, mais le réduira significativement. Tout passe aussi par les signaux envoyés aux salariés : si un PDG commence chaque réunion par un point cybersécurité, cela devient immédiatement un sujet central pour toute l’organisation.