Une attaque peut devenir un catalyseur d’investissement raisonné et une opportunité de transformation pour le retail comme en témoigne le DOSI de la marque Jules à l’événement Ready For IT.
La cybersécurité est une question de survie, pas un simple coût. C’est le constat dressé part Florent Plonquet, directeur de l’organisation et des systèmes d’information de Jules qui a témoigné lors de la conférence «Cybersécurité/Cyberrésilience : quel retour sur investissement pour les entreprises ?» organisée par Ready For IT à Monaco, événement dédié à la transformation numérique des PME et ETI, et à la cybersécurité. Le responsable indique avec un constat froid, mais lucide : «Quand je suis arrivé dans l’entreprise, en septembre 2022, la situation était critique. Le système d’information était vétuste, la sécurité faible ». Il initie alors un audit global et construit un schéma directeur sur trois ans. Mais le sort s’en mêle. «Une semaine après avoir présenté mon plan, début octobre, à cinq heures du matin, mon responsable infrastructure m’appelle : nous sommes victimes d’une cyberattaque». Tout s’arrête. L’entrepôt, les connexions aux 500 magasins, le siège : l’ensemble de l’écosystème numérique de la marque de prêt-à-porter masculin est mis hors service après cette attaque par rançongiciel qui a paralysé ses systèmes.
La sidération, puis la réponse
Face à l’urgence, la décision est immédiate : déconnecter l’ensemble des systèmes pour éviter la propagation. Les collaborateurs arrivent sur site sans pouvoir travailler. Le sentiment d’effondrement est palpable. «Une semaine avant, on apprenait que Camaïeu fermait en partie à cause d’une cyberattaque. Le traumatisme est réel. Certains se sont demandé s’ils allaient perdre leur emploi.» Dans cet environnement de stress intense, Jules enclenche sa remédiation. Mais reconstruire un système, quand les briques technologiques sont anciennes, mal documentées, voire inconnues de leurs propres exploitants, est une gageure. «Certains logiciels n’avaient plus de référents, plus de manuels. Chaque redémarrage prenait des jours.»
Trois coûts, une même leçon
Florent Plonquet évoque les pertes engendrées avec une clarté rare. «Le premier coût, c’est celui de la remédiation : remettre en route les systèmes, parfois à l’identique, tantôt en accélérant les projets de transformation. Ça se chiffre en millions.» Ensuite, vient la perte d’exploitation. «L’entrepôt a été à l’arrêt un mois et demi. Aucune livraison, aucun réassort. Dans le retail, c’est un désastre.» Enfin, plus insidieuse, la perte de parts de marché : «Un client qui ne trouve pas sa taille, ne revient pas toujours. Il va chez le concurrent. On a perdu du chiffre et surtout de la fidélité.» Ces trois couches illustrent une vérité : le coût de l’inaction est toujours supérieur à celui de l’anticipation. Mais encore faut-il pouvoir le démontrer.
Convaincre sans dramatiser : le défi de la pédagogie
Car la difficulté est bien de convaincre avant la crise. Franck Chemin, CISO du Crédit Agricole Alpes Provence, partage cette conviction rencontrée auprès des TPE-PME qu’il accompagne : «on doit faire comprendre le ROI cyber à des dirigeants qui n’ont ni le temps ni la culture IT. On doit leur parler de leur quotidien, pas d’un audit de 60 pages.» Et de souligner une analogie parlante : «personne ne remet en question l’installation d’un extincteur. Mais un antivirus, on vous demande combien ça rapporte.» Ce besoin de simplification, presque de « storytelling », devient une compétence clé. «Nous sommes dans du stand-up cyber. Deux minutes pour capter l’attention, trois punchlines pour convaincre», affirme-t-il. L’argument économique ne suffit plus : il faut créer un lien entre les actifs critiques de l’entreprise et leur exposition numérique.
Du projet IT au projet d’entreprise
Chez Jules, cette transformation culturelle est aujourd’hui enclenchée. «Nous avons formé les collaborateurs, sensibilisé les métiers, revu nos relations avec les partenaires. Désormais, un plan d’assurance sécurité est exigé dès les premières discussions. Il ne s’agit plus d’un sujet technique, mais d’un prérequis métier.» Le DSI souligne également que la sécurité, une fois devenue visible, peut être perçue comme génératrice de valeur. «Ce n’est pas un projet IT pour l’IT. C’est un projet qui garantit la continuité, la réputation, la capacité à servir les clients.» Une dynamique soutenue par une gouvernance renforcée. «Le board a compris, après coup, ce que représentait la dette technique accumulée. L’investissement dans la cybersécurité est devenu un passage obligé. Même si, avec le temps, les réflexes budgétaires peuvent revenir, on a gagné en maturité collective.»
Valoriser les risques… pour mieux les prioriser
Nadège Reynaud, directrice cybersécurité chez STET, rappelle que l’un des leviers les plus puissants pour parler ROI est de s’aligner sur les risques métiers. «Il faut sortir de la tour IT, aller comprendre ce qui fait la valeur de l’entreprise. Un fichier client, une chaîne de production, une base de données sensible. » À partir de là, il devient possible de modéliser des pertes et d’arbitrer les investissements. « Ce ne sera jamais précis, mais ce sera compréhensible.» L’idée est aussi de responsabiliser les parties prenantes : développeurs, métiers, prestataires. «Une faille peut venir de n’importe où. La sécurité ne repose pas uniquement sur des logiciels, mais sur des comportements. »
Le ROI cyber est aussi un ROI humain
Quelle est la place centrale de l’humain dans la stratégie cyber ? Pas seulement un facteur de risque, mais un vecteur d’adhésion. «Le retour sur investissement, ce n’est pas uniquement du chiffre», insiste Florent Plonquet. «C’est aussi la confiance restaurée entre la DSI, les métiers, la direction. C’est la capacité à rebondir ensemble.» Et, dans un contexte où la formation réglementaire n’est pas encore obligatoire pour tous les secteurs, instaurer des sanctions ou des restrictions d’accès pour les collaborateurs non sensibilisés, comme le font certains grands groupes, pourrait devenir un levier.
Investir avant d’être contraint
Le témoignage de Jules a profondément marqué les professionnels présents à cette conférence de Ready For IT. Il incarne ce que beaucoup redoutent, mais que peu osent formuler : l’impact d’une cyberattaque ne se résume pas à un incident technique, mais à une onde de choc organisationnelle, financière et humaine. Pourtant, au-delà du drame initial, l’enseigne a su reconstruire sur des bases plus solides, en plaçant la sécurité au cœur de sa stratégie.
Pour les entreprises du retail, souvent dépendantes d’infrastructures complexes et de chaînes logistiques tendues, la question n’est plus «si», mais «quand». Et si l’on en croit l’expérience de Jules, la seule bonne réponse est celle qui précède l’attaque. La cybersécurité n’est pas un luxe, ni même un choix tactique : c’est, désormais, un pilier de la compétitivité durable. Marks&Spencer en est un autre exemple récent. Victime d’une cyberattaque par rançongiciel, l’enseigne britannique a estimé ses pertes à 360 millions de livres et affirmé sa volonté de comprimer en six mois le programme de mise à niveau de ses SI, qui devait à l’origine durer deux ans.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire