Lorsque Patrick Opet, responsable de la sécurité des systèmes d’information chez JP Morgan, a tiré la sonnette d’alarme cette semaine dans le monde des entreprises américaines en adressant une lettre ouverte au secteur pour l’exhorter à privilégier la sécurité dans la chaîne d’approvisionnement logicielle, rares sont ceux qui y ont entendu quelque chose de véritablement inédit. Ce qui frappait dans cette nouvelle, c’est qu’elle émanait de la plus grande banque américaine en termes d’actifs et de la plus grande banque au monde en termes de capitalisation boursière, alors même que les institutions financières ne sont généralement pas réputées pour leurs déclarations audacieuses et sans détour.
De plus, la lettre de M. Opet souligne le risque particulier pour les secteurs plus réglementés et sensibles tels que la finance, où le coût d’un échec peut atteindre des milliers de milliards de dollars. Le rapport 2024 sur le coût d’une violation de données d’IBM a révélé que le coût mondial moyen d’une seule violation dans le secteur financier s’élevait à 6,08 millions de dollars, juste derrière le coût des violations dans le secteur de la santé, qui s’élève à 9,77 millions de dollars.
« La commodité ne peut plus primer sur le contrôle », a déclaré M. Opet dans sa publication sur LinkedIn, appelant ainsi les fournisseurs de logiciels tiers, les responsables de la sécurité et la communauté technologique au sens large à examiner de plus près les « points de défaillance uniques » qui peuvent entraîner « des conséquences potentiellement catastrophiques à l’échelle du système ».
Cette « commodité » peut prendre la forme d’un système de données et de processus parfaitement intégré qui se met à jour sans délai ni intervention manuelle, ce qui est sans conteste un objectif pour les entreprises. Cependant, comme l’avertit Nataraj Nagaratnam, directeur technique d’IBM pour la sécurité et l’infrastructure de l’IA, « à mesure que les agents d’IA popularisent une utilisation plus autonome de l’IA, par exemple, il est plus important que jamais de s’assurer que les mesures de sécurité des entreprises sont à la hauteur des risques liés à ces innovations ».
M. Nagaratnam s’est entretenu avec IBM Think depuis le salon RSA à San Francisco, où il a rejoint 40 000 professionnels de la sécurité lors de l’un des plus grands événements de l’année consacrés à la cybersécurité. La lettre de M. Opet était le sujet du jour, suscitant un débat et la reconnaissance qu’il s’agissait d’un appel à la création de normes dans l’ensemble du secteur et d’un moyen de mesurer leur respect.
À ce stade précoce, le jury n’a pas encore tranché sur la nature exacte de ces normes et mesures. Mais les enjeux sont considérables. Un exemple : l’attaque par ransomware contre le fournisseur de logiciels CDK Global, qui fournit des services logiciels au secteur automobile, a coûté plus d’un milliard de dollars aux concessionnaires, selon une estimation d’Anderson Economic Group, un cabinet de conseil basé à East Lansing, dans le Michigan. Comme l’a déclaré M. Opet, « la recherche de parts de marché au détriment de la sécurité expose l’ensemble des écosystèmes clients à des risques importants et conduira à une situation insoutenable pour le système économique ».
Que pouvons-nous en retenir dans l’immédiat ? Les experts d’IBM ont retenu trois appels à l’action de la lettre de M. Opet et du débat qui l’entoure :
Selon M. Nagarajan d’IBM, le fait de rendre les dirigeants individuellement responsables des technologies qu’ils emploient contribuerait grandement à améliorer la sécurité. « Lorsque vous rendez les chefs d’entreprise responsables des technologies qu’ils utilisent, de leur gestion, de leur finalité et de leur protection, cela améliore automatiquement la sécurité. »
