Comment un nouveau cadre de confiance numérique pourrait-il aider votre entreprise ?

La confiance numérique est le fondement sur lequel reposent les organisations modernes. Il peut s’agir de confiance entre employé et employeur, entre une organisation et ses partenaires/fournisseurs, ou de confiance entre une entreprise et ses clients. Quelle que soit la dynamique, la confiance est essentielle au maintien et à l’approfondissement de ces relations. Pourtant, lorsqu’il s’agit des organisations et de leurs clients, la confiance numérique est difficile à gagner mais peut être facilement perdue.

À une époque de fortes difficultés macroéconomiques et de concurrence féroce, il n’a jamais été aussi important d’instaurer cette confiance. McKinsey estimations que ceux qui sont les mieux placés pour instaurer la confiance numérique sont plus susceptibles que les autres de connaître des taux de croissance annuels d'au moins 10 % de leur chiffre d'affaires et de leurs résultats financiers. C'est pourquoi les dirigeants informatiques et commerciaux devraient s'intéresser à un nouveau cadre de l'association professionnelle de gouvernance informatique, l'ISACA.

Pourquoi la confiance numérique est importante

La confiance numérique consiste essentiellement à avoir confiance dans l’intégrité des relations et des transactions au sein d’un écosystème numérique spécifique. Le Forum économique mondial (WEF) suggère trois piliers fondamentaux pour cela :

1. Sécurité et fiabilité.
2. Responsabilité et surveillance.
3. Utilisation inclusive, éthique et responsable.

D’après ISACA, une confiance numérique bien appliquée peut contribuer à bâtir la réputation de l'entreprise, à fournir des données plus fiables pour la prise de décision, à améliorer la fidélité des clients et à garantir moins de violations de la vie privée et d'incidents de cybersécurité. Il n'est pas surprenant que de nombreuses organisations embauchent Chief Trust Officers pour accélérer de telles initiatives. Mais pourquoi maintenant ?

Nous vivons à l’ère du numérique, où beaucoup d’entre nous utilisent les technologies connectées pour faire du shopping, socialiser, travailler, apprendre de nouvelles langues et gérer nos finances et notre santé. Mais comme les consommateurs sont sans doute plus détachés que jamais de ces organisations, ils ont besoin d’avoir l’assurance qu’on peut leur faire confiance. Plus nous avons de choix parmi les fournisseurs numériques potentiels, plus ces assurances deviennent importantes.

Le WEF estime qu’il s’agit plus précisément du résultat du Web3 – un terme fourre-tout faisant référence à la prochaine itération du Web et caractérisé par la blockchain et le contenu généré par les utilisateurs.

« À quand remonte la dernière fois que votre organisation a redéfini le concept de confiance ? Qui est chargé de revoir, redéfinir et reconstruire la confiance ? il demande. "Si vous regardez autour de vous et que vous ne voyez personne, vous devriez vous inquiéter, mais vous n'êtes pas seul."

Dans le même temps, les acteurs de la menace font de leur mieux pour saper notre confiance dans les services numériques. Entreprises britanniques investissent des milliards dans la transformation numérique chaque année dans le but d'améliorer l'expérience client et l'efficacité opérationnelle. Mais ce faisant, ils élargissent également leur surface de cyberattaque grâce à une infrastructure et des applications cloud, des chaînes d'approvisionnement étendues, l'utilisation de composants logiciels open source, des outils d'IA, des communications basées sur le Web et bien plus encore. Un fournisseur de sécurité bloqué plus de 85 milliards de cybermenaces rien qu’au premier semestre 2023. Même si cela n’est probablement que la pointe de l’iceberg.

Les régulateurs ont réagi ces dernières années avec une série de nouvelles lois et règles conçues pour faire respecter des normes minimales de sécurité et de confidentialité et permettre aux consommateurs de prendre des décisions plus éclairées quant à savoir à qui faire confiance. Ceux-ci incluent le RGPD, NIS2, CCPA, PCI DSS, DORA et plus encore.

Que propose la DTEF ?

Vient maintenant l'ISACA Cadre de l’écosystème de confiance numérique (DTEF) – conçu pour aider les organisations à comprendre ce qu’elles doivent faire pour accroître leur fiabilité et leur réputation. Axé sur les éléments essentiels de la confiance numérique – intégrité, sécurité, confidentialité, résilience, qualité, fiabilité et confiance – il vise à aider les entreprises de plusieurs manières :

• Utilisation sécurisée de la technologie
• Collaboration accrue
• Temps de réaction réduits face aux événements imprévus
• Une plus grande concentration sur la gestion de la marque
• Travailler à une meilleure performance financière

« Le cadre présente plusieurs avantages, tels que la réduction des risques d'impact financier et non financier liés aux violations de données et aux amendes réglementaires, ce qui diminue ainsi les coûts commerciaux inattendus. Cela permet également aux entreprises d'exploiter plus efficacement les technologies émergentes », a déclaré Rolf von Roessing, développeur principal du DTEF, à ISMS.online.

« Le cadre aide également les entreprises à réduire leurs temps de réaction face à des événements imprévus en favorisant une forte collaboration interfonctionnelle et en gardant une longueur d'avance sur les tendances émergentes dans l'espace numérique, ce qui entraînera des améliorations opérationnelles des services, des processus et des structures. À son tour, cela renforce la fidélité des clients en rendant les produits et services de l'entreprise plus fiables et en réduisant la probabilité d'événements indésirables – en donnant la priorité à la transparence et à une communication claire avec les clients.

En ce qui concerne les technologies émergentes, le DTEF est conçu pour aider les organisations à gérer la tension entre l'adoption précoce et la mise en œuvre de la technologie de manière éthique et responsable, ajoute-t-il.

«La DTEF existe pour aider les entreprises à accroître leur compétitivité et à tirer parti de l'efficacité opérationnelle des nouvelles technologies comme l'IA de manière sûre et responsable, en tenant compte des facteurs culturels et humains», explique von Roessing.

« La nature flexible du cadre signifie que les organisations peuvent aligner leurs objectifs commerciaux sur l’IA et déterminer les facteurs de confiance et les pratiques à privilégier lors de la mise en œuvre de la technologie. La DTEF soutient en outre la gouvernance, la gestion des risques et la conformité en matière d’IA, notamment dans la perspective des réglementations et initiatives législatives émergentes.

Mappage avec les cadres et normes existants

DTEF correspond également à plusieurs normes et cadres existants, notamment ISO 27001, COBIT 2019, ITIL v4, IT4IT, NIST 800-53, NIST CSF 2.0, NIST Privacy, NIST RMF, PCI DSS et RGPD. Pourtant, étant donné que ceux-ci fournissent déjà aux organisations une base utile pour la confiance numérique, pourquoi ont-elles besoin d’un cadre supplémentaire ?

La vision de Von Roessing est que la DTEF s'intègre de manière transparente à ces efforts, permettant aux activités d'être considérées à travers une lentille de confiance numérique dans six domaines principaux : culture, émergence, facteurs humains, direct et suivi, architecture, habilitation et support.

« Par exemple, une entreprise peut mettre en œuvre le cadre COBIT de l'ISACA pour surveiller et améliorer ses meilleures pratiques en matière de gestion informatique. La DTEF agirait comme une couche supplémentaire qui garantirait que ces pratiques de gestion informatique intègrent des pratiques de confiance numérique », explique-t-il.

À terme, un nombre croissant d’organisations pourraient envisager d’adopter la « confiance numérique dès la conception », de la même manière qu’elles adoptent aujourd’hui des approches de « sécurité dès la conception ». Cela pourrait faire la différence entre le succès et l’échec d’une entreprise.