J'avais en son temps écrit un article de cyberstratégie d'entreprise, publié dans la Nouvelle Revue de Géopolitique il y a deux ou trois ans. Et puis j'ai continué à travailler, l'air de rien. Il me semble ainsi qu'il y a trois niveaux de la cyberstratégie d'entreprise.

Le premier niveau est celui de la Protection. C'est ce que font la plupart des entreprises, avec des mesures de sécurité des systèmes d'information, d'hygiène informatique, etc. Bref, tout ce qui appartient au domaine conjoint de la DSI et du directeur de la sûreté. Déjà, penser à intégrer les deux est un plus. C'était le message de mon article, il est bien détaillé dans le livre de Philippe Davadie (L'entreprise, nouveaux défis cyber). Déjà, si toutes les entreprises avaient ces pratiques, on aurait bien avancé. Pourtant, ça ne suffit pas.

Le deuxième niveau est celui de la Transformation. Il s'agit de convertir l'entreprise à une nouvelle approche. En effet, jusqu'à présent, l'entreprise organisait la gestion de la donnée tout en poursuivant son activité. Désormais, l'entreprise comprend que la donnée est au cœur de son activité. Ses seuls actifs sont de la donnée, ou plus exactement de la donnée bonifiée et transformée. Il ne s'agit pas simplement de l'approche classique du patrimoine immatériel, mais de considérer que la donnée est désormais la valeur, le capital premier de l'entreprise; Celle-ci doit dès lors s'organiser autour de la donnée. Elle doit trier ses données en "catégorie de valeur" et organiser des protections différenciées selon les sensibilités. Désormais, la donnée est au centre de l’entreprise. Le dirigeant doit alors organiser son entreprise selon le couple collaborateur-donnée ce qui induira tout un tas de décisions sur la création de valeur (création de donnée), et sur l'échange et la communication des données (cloud, big data, communication/protection à l’extérieur, ...).

Le troisième niveau est celui de la Prospective. Il s'agit d'anticiper les bouleversements de son marché à la suite de la révolution cyberindustrielle en cours (cette expression de révolution cyberindustrielle a été trouvée conjointement avec Laurent Bloch : elle inclue bien sûr toute l'industrie des "services"). Prenez les hôteliers : ils se sont fait subtiliser l'accès au client par le site booking.com. Regardez Axa : Henri de Castries emmène toute son équipe dirigeante aux Etats-Unis voir la google car, cette voiture qui conduira sans chauffeur : pour l'assurancier, cela signifie que demain il n'y aura plus d'accident, ce qui réduit considérablement son marché. Mais quelqu’un possédera ces voitures et il y aura toujours des assurances sur les vols. Au-delà, la prochaine révolution en marche est double :celle de l'Internet des objets et celle du corps connecté : comment cela va-t-il affecter mon marché ? comment puis-je préparer l'adaptation de mon offre à ces révolutions qui surviennent ?

Ceci appartient au domaine cyber. Ceci est proprement stratégique et de la responsabilité exclusive du dirigeant. Mais s'il n'est pas familier avec l'ensemble du cyberespace, s'il n'a pas intégré les deux premiers niveaux de la cyberstratégie, il est peu probable qu'il s’éleva au troisième. Il ratera le tournant de la préparation de l'avenir de son entreprise. Il aura manqué sa mission.

Voici une décision stratégique qui est cyber : elle fait d'ailleurs coïncider les deux sens de la cybernétique : à la fois direction et informatique réticulée... La cyberstratégie d'entreprise est donc une activité qui est bien du ressort du dirigeant et qui ne peut se réduire à une affaire de techniciens, soit de l'informatique soit de la sûreté .

O. Kempf