Dans le cadre de leur projet de transformation, les entreprises doivent aujourd’hui prendre en considération une multitude de facteurs. Si les nouvelles technologies permettent aux acteurs économiques d’améliorer leurs performances, leur déploiement s’accompagne aussi de nouveaux risques, en matière de cybersécurité, et doit s’envisager en conformité avec un cadre réglementaire de plus en plus contraignant. « Les organisations, pour rester compétitives, n’ont pas d’autre choix que de s’inscrire dans une dynamique de transformation permanente. La technologie est aujourd’hui une commodité. Distribués au départ du cloud, intégrés dans les équipements que nous utilisons dans nos vies quotidiennes, les outils numériques sont omniprésents, de manière visible et invisible. Les clients comme les collaborateurs s’attendent à pouvoir bénéficier d’une expérience similaire dans les relations qu’ils entretiennent avec l’entreprise », commente Abdelhay Toudma.

DE PLUS EN PLUS DE CONTRAINTES

La mise en œuvre d’une dynamique de transformation permanente n’est cependant pas évidente. Elle doit tenir compte de nombreux enjeux. « En Europe notamment, nous assistons à un renforcement des exigences réglementaires, avec des textes comme NIS2, DORA, le RGPD ou, plus récemment, l’IA Act, explique Karim Bouaissi. Elles imposent de nouvelles obligations, assorties de sanctions significatives si l’entreprise ne parvient pas à y répondre. Les acteurs doivent aussi veiller à leur souveraineté ainsi qu’à leur résilience. Si l’on migre vers le cloud, il y a lieu de se demander comment on peut assurer la préservation de ses actifs les plus précieux, qu’il s’agisse de moyens de production ou de la propriété intellectuelle de l’entreprise. »

Se digitaliser, en outre, soulève des questions liées à la cybersécurité. « Les cybermenaces sont aujourd’hui nombreuses, avec une croissance des attaques sophistiquées, ciblant notamment les infrastructures les plus critiques. L’extension des environnements informatiques, à travers l’adoption du cloud, l’intégration de nouvelles technologies comme l’IA ou les objets connectés s’accompagnent d’un élargissement de la surface d’attaque. Celle-ci devient de plus en plus difficile à gérer », ajoute encore Guillaume Carballo.

ADOPTER UNE APPROCHE AGILE

Évoluer dans cet environnement nécessite donc une approche coordonnée permettant de prendre en compte ces multiples enjeux. « Afin de soutenir les structures dans leur transformation, nous avons mis en place une Cybersecurity and Digital Risk Team, rassemblant quatre associés et comptant quelque 70 consultants, pour agir collectivement, explique Alexandre Minarelli. Adopter une approche agile permet de couvrir l’ensemble des piliers d’une transformation réussie que sont les enjeux de gouvernance, de risque et de conformité, la résilience, la sécurité opérationnelle et les réponses sur incidents, la gestion des accès et des identités, la protection des données, la gouvernance associée à l’intelligence artificielle. »

La réunion des expertises permet de considérer l’ensemble des enjeux dès le départ, pour fixer le cadre dans lequel les projets de transformation, d’innovation et d’intégration de la technologie pourront être menés. « Quand on considère l’évolution des cybermenaces, il est important que la sécurité ou la protection des données puisse être considérée dès le départ, commente Guillaume Carballo. Les projets mis en œuvre doivent désormais répondre à des exigences de security & privacy by design. Ce n’est plus seulement une recommandation, mais une exigence. Si ces enjeux ne sont pas correctement abordés, l’entreprise s’expose à des risques pouvant mettre en cause sa survie. »

DES OPPORTUNITÉS AU-DELÀ DES CONTRAINTES

La réglementation est souvent perçue comme contraignante et les projets de conformité sont coûteux. Le défi est de parvenir à se transformer dans le respect du cadre en s’assurant d’un retour sur investissement. « De la contrainte naissent les opportunités, pour peu que le cadre soit maîtrisé, assure Karim Bouaissi. Souvent, les exigences fixées par les autorités sont des réponses à des crises ou des éléments mis en œuvre pour prévenir les risques. Le cadre créé, toutefois, constitue aussi un catalyseur de l’innovation. Il permet aux entreprises d’avancer, de se transformer et d’entrer dans une nouvelle ère. L’IA Act, par exemple, facilite le déploiement de l’IA tout en garantissant la protection des utilisateurs et le respect des valeurs qui nous sont chères. »

Les réglementations européennes, comme le RGPD ou l’IA Act, si elles sont parfois critiquées par les États-Unis, sont aussi souvent reprises ailleurs, en Asie par exemple. « Une IA mal conçue ou mal exploitée génère plus de problèmes qu’elle n’en solutionne, ajoute encore Alexandre Minarelli. Un cadre précis et clair, la prise en considération de l’ensemble des enjeux dès le départ, permet d’aider les entreprises dans leur transformation. Au-delà, il faut aussi trouver des solutions pour accéder à l’IA sans s’exposer à des risques de perte de données, à travers des plateformes souveraines comme Clarence. »

LA CO-CRÉATION AU SERVICE DES PERFORMANCES

L’approche mise en place par EY avec sa Cybersecurity and Digital Risk Team ne vise pas uniquement à prendre en considération les risques et menaces ainsi que les exigences réglementaires. « Au-delà du capital humain et de l’expertise que nous leur apportons, nous nous inscrivons dans une démarche de co-création, ajoute encore Abdelhay Toudma. Autrement dit, nous travaillons avec nos clients pour leur permettre de trouver et de mettre en œuvre les bonnes solutions. En considérant l’ensemble des aspects évoqués, mais aussi la maturité numérique du client et ses objectifs, nous explorons les possibilités qui s’offrent à lui. Nous lui permettons, à travers de sessions d’idéation, de prendre du recul, de sortir de son contexte, de partir à la découverte de ce qui se fait ailleurs. »

C’est en travaillant avec le client que l’équipe d’EY contribue à faire émerger des solutions innovantes, adaptées au contexte de l’entreprise. Cette approche collective permet aussi de prendre en considération l’ensemble des leviers liés à la conduite du changement à l’échelle de l’organisation, et notamment les enjeux de formation, de sensibilisation et de communication. Une transformation réussie implique d’agir collectivement, au service de tous.