Les actifs numériques en entreprise : les données, systèmes et processus dont dépend votre activité

Que sont les actifs numériques ?

Un actif numérique est tout élément qui a de la valeur pour votre entreprise sous forme numérique. Cela inclut les données que votre entreprise crée et stocke, les systèmes informatiques qui les traitent et les délivrent, ainsi que les processus numériques dont dépendent vos opérations.

Au sein de votre environnement numérique

Votre environnement numérique comprend les données que votre entreprise crée et collecte : fichiers clients, informations financières, contrats, propriété intellectuelle et données des collaborateurs. Il englobe aussi les systèmes informatiques qui rendent ces données exploitables : votre ERP, CRM, plateforme e-commerce, logiciels de gestion de production et infrastructure cloud. Il inclut enfin les processus numériques qui les relient : traitement des commandes, facturation, onboarding client et prestation de services.

Ces catégories sont interdépendantes. Une base de données clients compromise n’est pas un simple problème informatique isolé. L’impact peut se traduire par une atteinte à la réputation et des amendes significatives au titre du RGPD ou du HIPAA.

Votre entreprise étendue fait partie de votre inventaire d’actifs numériques

Certains de vos actifs numériques sont gérés par des tiers : un fournisseur cloud qui héberge les données de vos clients, une plateforme SaaS qui fait tourner votre site e-commerce. Les données et processus qu’ils prennent en charge font toujours partie de la façon dont votre entreprise fonctionne et génère du chiffre d’affaires ; la dépendance et le risque vous incombent donc.

Cela change la façon dont vous devez les considérer. Vous ne pouvez pas gérer leurs systèmes comme les vôtres, mais vous devez toujours comprendre le rôle qu’ils jouent dans votre activité et ce qu’une violation ou une indisponibilité coûterait. C’est ce qui vous permet d’évaluer le risque tiers en termes métier et de prendre des décisions éclairées sur les contrats, les contrôles et l’assurance.

Votre chaîne de valeur comme cadre d’analyse

Avant de pouvoir prioriser les actifs numériques qui nécessitent le plus d’attention, vous devez comprendre comment ils créent de la valeur pour votre entreprise.

Comment votre entreprise crée de la valeur

Une chaîne de valeur cartographie la façon dont votre entreprise génère ses profits. Pour un industriel, le chemin critique va des données d’achats et des systèmes de production jusqu’à la facturation et à la livraison client. Perturbez l’ERP et vous perturbez tous les maillons en aval. Pour un distributeur, il passe par les systèmes de gestion des stocks, la plateforme e-commerce et le traitement des paiements. Les actifs qui comptent le plus dépendent du circuit emprunté par vos revenus.

Les dirigeants et les experts métier sont les mieux placés pour identifier ces dépendances. Commencez par retracer vos principaux flux de revenus et demandez-vous de quelles données, systèmes et processus chacun dépend pour fonctionner. Puis raisonnez à rebours : si ce système n’était plus disponible demain, qu’est-ce qui casserait, et combien cela coûterait-il à l’entreprise ? Cet exercice, répété sur vos principaux flux de revenus, vous donne une cartographie concrète des actifs réellement critiques et des zones où votre exposition est la plus forte.

Les indicateurs métier objectivent la criticité

Votre chaîne de valeur cartographie la façon dont votre entreprise crée de la valeur. Vos indicateurs métier quantifient ce qui est en jeu : chiffre d’affaires, rentabilité, marchés sur lesquels vous opérez et services nécessaires au fonctionnement de votre entreprise. Ils révèlent également les points de votre flux de données où une violation aurait l’impact le plus négatif sur vos opérations, vos clients ou vos obligations réglementaires.

Cela fait partie de la construction d’un profil de cyber-risque plus large. Associés, votre chaîne de valeur et vos indicateurs métier vous font passer d’un inventaire général des actifs numériques à une vision claire et priorisée des actifs que votre entreprise ne peut se permettre de perdre.

Quantifier le risque pesant sur vos actifs numériques

Un inventaire des actifs numériques vous indique ce dont votre entreprise dépend. L’étape suivante consiste à évaluer l’impact financier pour votre entreprise si l’un de ces actifs est compromis, perturbé ou dérobé.

Le risque, c’est la fréquence et l’ampleur probables d’un événement de perte

Selon FAIR, le standard international de quantification du cyber-risque, le risque est défini comme la fréquence probable et l’ampleur probable d’une perte future. Ces deux facteurs s’appliquent directement à vos actifs numériques. Quelle est la probabilité qu’un acteur malveillant cible un actif spécifique ? Et si cet événement se produit, quel est l’impact financier sur votre entreprise ? Vos chaînes de valeur et vos indicateurs métier sont les données fondamentales qui donnent tout son sens à la quantification du risque.

De l’inventaire des actifs numériques à l’exposition financière

Une fois que vous avez cartographié vos actifs numériques et leur place dans votre chaîne de valeur, vous pouvez commencer à quantifier l’exposition financière associée à un événement de perte. Cela inclut les coûts directs tels que le chiffre d’affaires perdu pendant l’interruption d’activité, le coût de la remise en service et le remplacement des actifs. Cela inclut aussi les pertes secondaires : amendes réglementaires au titre du RGPD ou du HIPAA, atteinte à la réputation et coût associé à la perte de clients qui n’ont plus confiance en votre entreprise.

Pour rendre cela concret : si votre ERP tombe hors ligne, la question n’est pas simplement de savoir si c’est un problème. La question est de savoir combien de chiffre d’affaires votre entreprise perd par jour d’indisponibilité, ce qu’il en coûte pour le restaurer et si votre couverture d’assurance actuelle serait suffisante. Ce sont des questions auxquelles on peut répondre dès lors que l’on a une vision claire de ses actifs numériques et de la manière dont ils se rattachent à ses flux de revenus.

Mettre des chiffres financiers sur ces scénarios réduit l’incertitude d’une manière qui change la façon dont les décisions sont prises. Au lieu de s’en remettre à l’intuition pour décider où investir dans la sécurité, la direction dispose d’une base objective pour allouer les ressources, prioriser les actions de remédiation et attribuer les responsabilités à travers l’entreprise. Plus votre inventaire des actifs numériques est complet et précis, plus cette analyse devient fine et défendable.

Pourquoi une vision complète de vos actifs numériques est essentielle

Une analyse de la chaîne de valeur et une revue de vos indicateurs métier vous offrent un point de départ objectif. Elles mettent en lumière les actifs numériques dont votre entreprise dépend le plus et ce qui est en jeu en cas de perturbation.

Mais cette image ne reste pas figée. À mesure que de nouveaux outils sont adoptés, que des fournisseurs sont intégrés et que de nouveaux marchés sont abordés, votre empreinte numérique évolue. Des systèmes sont ajoutés, les intégrations évoluent et les dépendances changent, souvent sans faire l’objet d’un suivi formel.

Ce n’est pas un exercice ponctuel. Les actifs qui échappent à votre visibilité actuelle sont tout aussi exposés que ceux que vous avez déjà identifiés. Un service cloud qui stocke des données clients ou une intégration tierce qui traite des informations financières fait partie de votre profil de risque, qu’il soit formellement recensé ou non.

Maintenir une vision claire et à jour de vos actifs numériques, ainsi que de l’impact financier de leur défaillance, vous permet de piloter le cyber-risque comme une discipline métier continue plutôt que comme un exercice informatique périodique.