A l'occasion de la dernière édition du Tour de France, l'heure était une nouvelle fois à la théorie des gains marginaux. Ce concept a pris beaucoup d'importance suite au succès inégalé de l'équipe de cyclisme britannique lors des Jeux Olympiques de Londres en 2012 ; cette nouvelle approche ayant transformé de manière significative leur façon de s'entraîner et de cibler certaines disciplines.

 Les gains marginaux ont depuis lors évolué dans le monde sportif comme dans les salles de réunion. D'après l'entraîneur de cyclisme gallois, et manager de l'équipe professionnelle Sky Dave Brailsford, cette théorie suppose d'augmenter chaque variable étayant ou influençant la performance d'à peine 1 %. Cela permet de bénéficier, par effet cumulatif, d'une forte amélioration de celle-ci ou d'une « agrégation de gains marginaux ».

 Petites corrections successives

Appliqué à la question du risque organisationnel lié au cybercrime, ce raisonnement permet de conclure que les gains marginaux peuvent aider les dirigeants à protéger leur entreprise. En effet, le fait d'effectuer des petites corrections successives de 1 % aux programmes de formation et d'appliquer ces règles aux filtres de sécurité ou à la définition de mots de passe sécurisés ferait une différence. Mais est-ce suffisant pour assurer le succès de la sécurité IT ? Cela n'a pas été le cas pour Matt Parker, responsable des gains marginaux de l'équipe de cyclisme britannique en 2012, qui a ensuite pris la responsabilité des performances de l'équipe anglaise de rugby mais perdu son poste suite aux maigres résultats de l'équipe lors de la Coupe du monde 2015. Contrairement à 2012, les gains marginaux n'ont pas suffi pour conduire l'équipe d'Angleterre à la victoire face à une opposition qui a évolué plus rapidement.

 Changement radical

À certains moments du cycle de vie d'une organisation, un changement radical s'impose, en particulier dans la cybersécurité. Les organisations ne peuvent plus se contenter de quelques modifications marginales si elles souhaitent bénéficier de défenses efficaces face à un opposant déterminé et préparé. Elles n'ont parfois d'autres alternatives que l'optimisation radicale du comportement des employés, des processus commerciaux et des technologies. Par exemple, si leurs niveaux de conformité ne dépassent que de quelques pourcents les différentes normes sectorielles, autant dire que les entreprises ont déjà jeté l'éponge. En effet bien qu'étant une importante source d'investissement financiers, la sécurité des projets de conformité n'est pas optimale pour une organisation qui a plutôt intérêt à privilégier un contrôle des meilleures pratiques.

 En outre, les délais de mise en œuvre doivent être réduits au maximum, ce qui ne contribue pas à simplifier la tâche des entreprises. Là où auparavant une organisation pouvait se permettre d'adopter une nouvelle technologie sur deux ans - selon la théorie des gains marginaux - il leur est à présent demandé de réaliser ces déploiements en à peine quelques semaines. Ce qui nécessite quelques changements radicaux pouvant se révéler problématiques en termes d'organisation ou de processus. Néanmoins, la cybersécurité étant devenue l'une des principales priorités des dirigeants actuels, ceux-ci doivent s'adapter et tenir compte de ces changements.

 Nouvelles normes

Et si pour certains, la protection des données des utilisateurs n'est pas une raison suffisante, les nouvelles normes de conformité qui entreront en vigueur en 2018 viendront remettre les pendules à l'heure pour tout le monde. Le règlement général sur la protection des données (GDPR), qui dicte les règles en matière de cybersécurité dans l'ensemble des pays membres de l'UE, a été finalisé au début de cette année et stipule qu'une organisation victime d'une cyberattaque, devra la déclarer sous 72 heures. Dans le cas contraire, les entreprises s'exposeront à des amendes pouvant aller jusqu'à 4 % de leur chiffre d'affaires total ou jusqu'à vingt millions d'euros, en fonction du montant qui le plus élevé. Face aux nouvelles conséquences qui qui découlent d'une cyberattaque mal maîtrisée, la théorie des « gains marginaux » sera non seulement inadéquate, mais surtout très risquée pour les organisations.

 Ces dernières doivent optimiser la cybersécurité à travers des changements radicaux ; dans le monde numérique, être protégé à 50 % ne réduit pas le risque de moitié car il ne faut que quelques secondes à un hacker pour identifier les failles d'un système. Les organisations doivent donc impérativement modifier leur vision et partir du principe que tôt ou tard, elles seront elles aussi victimes d'une attaque. Par conséquent, les investissements stratégiques dans les nouvelles technologies leur permettront de mieux déceler les violations et de les contrer. Dans ce domaine, les gains marginaux ne sont hélas pas suffisants. De plus comme en attestent les derniers rapports en date sur la violation des données clients, les entreprises ne sont pas en tête du peloton sur ces questions.