La faute à un fossé culturel qui ne considère pas la sécurité informatique comme un élément important de l’entreprise. Mais aujourd’hui, plusieurs multinationales exigent de leurs fournisseurs des niveaux de protection élevés pour éviter le vol de données sensibles. Il s’agit de Gianluca Lombardi,  PDG de Gl Consulting l’une des principales entreprises italiennes spécialisées dans la cybersécurité et l’un des plus grands experts en la matière : « Nous devons changer de paradigme et fournir à nos entrepreneurs un projet sur mesure. Comme le font les architectes pour un bâtiment. Les cyberattaques coûtent au système national un pour cent du chiffre d’affaires tous les trois jours d’indisponibilité. Le problème est que nous ne prenons conscience de l’importance de cette question complexe que lorsque nous devenons la cible des pirates informatiques. En effet, l’arrêt de la production entraîne des conséquences dramatiques, d’un point de vue managérial et, bien entendu, économique. Des centaines de millions – le chiffre dépend de la taille de l’entreprise – s’envolent en raison de l’arrêt inévitable de toutes sortes d’activités. Et il ne s’agit pas de cas isolés : au moins quatre entreprises sur dix ont été confrontées à ces problèmes, qu’elles ne signalent souvent pas de peur de nuire à leur image. C’est précisément pour ces raisons que la prévention est la seule arme possible pour éviter les « ennuis ». Notamment parce que dans un certain nombre de commandes importantes, le niveau de sécurité est désormais une exigence essentielle. « Dans le secteur automobile, par exemple, explique M. Lombardi, certaines entreprises comme Volkswagen demandent à leurs fournisseurs une protection adéquate, soumise à certification, pour éviter le vol de données, et d’autres entreprises le font en incluant dans leurs contrats des clauses d’indemnisation importantes. Tellement importantes qu’elles pourraient, si elles étaient déclenchées, conduire à la faillite sans possibilité de sauvetage. Mais tout cela contraste avec la réalité de notre tissu productif. Lorsqu’ils demandent notre intervention, nous faisons une évaluation pour connaître leur niveau de cybersécurité. Un véritable audit qui doit atteindre un score minimum de 60 points sur 100. Or, nos entreprises atteignent à peine 25/30 points, montrant des lacunes évidentes. Bref, il y a un fossé culturel sur ce sujet qu’il faut combler. Immédiatement ». Une approche holistique qui ne peut se limiter à endiguer les urgences, mais qui doit au contraire se concentrer sur la prévention. « Ce qui manque, poursuit M. Lombardi, c’est une vision globale. Nous ne pouvons pas nous contenter d’acheter du matériel et des logiciels de sécurité, mais nous devons étudier les systèmes de gestion de la sécurité comme un architecte étudie la conception d’un bâtiment. En d’autres termes, il faut planifier – le verbe n’a jamais été aussi juste – un projet global qui élève de manière décisive les niveaux de protection d’une entreprise à la moyenne européenne. Si nous ne le faisons pas, nos entreprises manufacturières, même celles de taille moyenne et grande, seront bientôt en faillite. Nous devons agir maintenant pour ne pas avoir de problèmes demain. Mais nous devons le faire avec une idée claire en tête ». Une sorte de Dr House de l’informatique. C’est la nouvelle figure incontournable dans un secteur complexe comme la cybersécurité. La comparaison est efficace », dit Lombardi, « notre tâche consiste précisément à identifier une, disons, pathologie et à trouver ensuite le remède le plus efficace. Cela peut paraître étrange, mais il s’agit là, pour notre pays, d’une véritable révolution copernicienne. Un changement de paradigme qui ne peut plus être différé. Après avoir identifié la maladie, il faut passer à la thérapie. Celle-ci a besoin d’un autre élément essentiel : les personnes et leur formation aux questions technologiques et, je dirais, pratiques. Une statistique récente nous apprend que 37 messages espions sur 100 sont ouverts par des utilisateurs non avertis et sans méfiance. Cela signifie que 37 fois sur 100, ce PC ou ce smartphone est attaqué avec succès par des pirates informatiques qui l’écoutent. Cela arrive aux particuliers, mais aussi sur les lieux de travail. Avec des dégâts parfois irréparables ». Les personnes sont donc le maillon faible de la chaîne : « Prenons l’exemple d’un employé d’une autorité sanitaire locale italienne et imaginons qu’en consultant un courriel arrivé sur son compte officiel, il clique accidentellement sur un lien suspect, peut-être en raison d’un manque de préparation sur le sujet. L’omelette est alors faite. Des millions de données sensibles deviennent la propriété de pirates sans scrupules qui peuvent les utiliser de mille manières. La formation, une formation adéquate du personnel privé et public, éviterait tout cela, ce qui est un préjudice évident pour la collectivité. La construction d’une architecture informatique sécurisée passe aussi par cet aspect. Qui précède peut-être tant d’autres éléments. La culture est le point sur lequel nous sommes appelés à travailler. Car la cybersécurité est désormais l’une des priorités du « système italien ».