Créée en octobre 2020, la chaire Gouvernance du risque cyber de Rennes School of Business aborde l’ensemble des implications du risque cyber.
Une diversification de la cyber-menace
Nos sociétés de plus en plus numérisées et interconnectées sont exposées à un risque accru de crises cyber majeures résultant d’attaques massives ou produites par des contaminations systémiques. La cyber-menace ne cesse de croître dans ses formes et son intensité. Les attaquants informatiques poursuivent quatre types d’objectifs, non exclusifs entre eux : l’espionnage, les trafics illicites (cybercriminalité), le sabotage et la déstabilisation (manipulations de l’information).
La centralité du risque cyber
Le risque cyber a pris rang parmi les principaux risques systémiques relevés par les grandes institutions internationales, avec les risques associés à l’instabilité financière, au changement climatique et à la menace pandémique. Déstabilisant nos repères traditionnels, le risque cyber abolit la distinction entre civil et militaire, entre temps de guerre et temps de paix, et rend plus ardue, sinon impossible, la distinction entre politique internationale et politiques intérieures des États. La puissance est ainsi relativisée, diffusée, et largement privatisée : ces conflits impliquent aujourd’hui moins de diplomates que d’entreprises.
Connectée à tous les autres secteurs d’activité, la finance est une cible privilégiée des pirates informatiques. Le risque cyber est vecteur de deux principales menaces : des pertes financières substantielles, auxquelles s’ajoutent une détérioration de la confiance dans le système financier. Cette tendance devrait se poursuivre compte tenu de la démocratisation des outils et des méthodes de piratage, désormais plus l’apanage des seuls États.
Titulaire de la chaire Gouvernance du risque cyber, Julien Nocetti est professeur associé à Rennes School of Business, il est également chercheur associé à l’Institut français des relations internationales (IFRI) et professeur aux Écoles de Saint-Cyr Coëtquidan. Docteur en science politique, il a été responsable entre 2010 et 2019 des activités de l’IFRI sur les problématiques cyber et intervient régulièrement dans des conférences internationales et dans les médias.
Objectifs
- Positionner Rennes School of Business comme un acteur reconnu sur ces enjeux
- Créer une expertise spécifique dédiée au secteur financier
- Intégrer l’ensemble des implications du risque cyber : régulatrices, économiques, technologiques et managériales
- Produire les expertises et les moyens humains
- Anticiper la gestion de crise en créant une vision prospective
Orientations principales
1. Le risque cyber dans le secteur financier et assurantiel
La cybersécurité est aujourd’hui un enjeu fondamental de stabilité financière. La sophistication accrue des attaques informatiques et l’accroissement des vulnérabilités produisent des risques plus élevés : indisponibilité des services et infrastructures essentiels, atteinte à l’intégrité des données de marché, ou faille de confidentialité chez les acteurs financiers. Les attaques visent les environnements informatiques des institutions – et plus seulement les équipements des clients – pour les voler et/ou les détruire, tandis que les procédés eux-mêmes se complexifient, dans un contexte de profonde interconnexion entre les systèmes d’information. Les innovations technologiques (FinTech) et l’arrivée de nouveaux intermédiaires (GAFAM et BATHX) engendrent des fragilités supplémentaires en lien avec les institutions financières. Ces problématiques questionnent par ailleurs l’assurabilité du risque cyber. Enfin, au plan international, l’augmentation du risque cyber pose la question de l’inclusion du secteur financier dans le renforcement des principes normatifs.
2. Risque cyber et géoéconomie des enjeux numériques
Dans le champ numérique, la crise née du Covid-19 est venue renforcer une tendance préexistante : le glissement des rapports de force du terrain politique et militaire vers le terrain économique. Indissociable de l’« arsenalisation » (weaponization) des rapports sino-américains, l’enjeu géoéconomique se manifeste tout particulièrement par la déstabilisation des chaînes d’approvisionnements globales des technologies numériques (équipements 5G, semi-conducteurs, etc.).
Les débats autour d’un hypothétique « découplage » technologique entre les États-Unis et la Chine engendrent de nouveaux risques globaux comme de nouvelles opportunités pour l’Europe de structurer une souveraineté numérique l’immunisant de stratégies prédatrices.
3. La géopolitique du cyber et ses impacts sur la cybersécurité des entreprises
La cyber ingérence russe dans l’élection présidentielle américaine en 2016 et les piratages massifs qui ont visé de grands groupes internationaux depuis 2017 traduisent la volatilité d’une politique internationale travaillée par la dissémination globale des moyens numériques. Les entreprises doivent s’adapter à ces nombreuses menaces qui ciblent tout particulièrement les infrastructures vitales et confèrent à la protection des données un caractère stratégique. Certains États ne dissimulent pas leur ambition de maîtriser les infrastructures numériques (cloud, data centers, câbles sous-marins, réseaux 5G) – avec de profondes implications économiques et sécuritaires. Cet axe analysera les enjeux posés par la multiplication des cyber-attaques et cartographiera les acteurs engagés dans cette conflictualité mouvante.
Mise en œuvre
La mise en œuvre de la chaire Gouvernance du risque cyber se traduit par :
1. La conception de programmes d’enseignements intégrés, à la rentrée académique 2020-2021,
Ces programmes (PGE, MSc, Executive Education, …) feront intervenir les professeurs de Rennes School of Business associés à la chaire, les soutiens institutionnels et privés de la chaire, ainsi que d’autres enseignants et praticiens identifiés sur des thématiques précises.
2. La recherche d’une présence active dans les débats d’expertise et le débat public
Le titulaire de la chaire mettra à profit son insertion dans divers réseaux d’expertise, décisionnels et médiatiques, en France et en Europe, pour contribuer au débat sur les sujets portés par la chaire. À ce titre, l’organisation d’événements (conférences ouvertes, petits déjeuners débat, séminaires en entreprise, etc.) fera l’objet d’un effort particulier.
3. La recherche de partenariats, en France et à l’étranger,
avec des institutions académiques dans le but d’ancrer la chaire dans ses objets d’étude et de formation.
Valeur ajoutée de Rennes SB
Dans la lignée des missions principales de l’École, la chaire Gouvernance du risque cyber entend produire des formations et une expertise de haut niveau et à favoriser le débat entre experts et décideurs des monde économique et politique.
La chaire Gouvernance du risque cyber porte la marque de l’expertise générale de Rennes School of Business, en particulier en identifiant les problématiques centrales présentes et futures, en replaçant le cyber dans les enjeux plus globaux et en établissant des ponts entre plusieurs disciplines. La chaire bénéficie en outre de l’expertise thématique des départements de l’École (Finance, Stratégie, Data Analytics, etc.).