De nombreuses organisations considèrent les menaces en matière de cybersécurité comme un défi technique nécessitant avant tout des solutions techniques, et de nombreux gouvernements les considèrent principalement comme un problème de sécurité nationale. Pourtant, les conséquences économiques et sociales des cyberincidents peuvent être beaucoup plus graves que leur impact technique pour l'organisation, ses partenaires et les tiers. Par exemple, les attaques de ransomware dans les hôpitaux peuvent être mortels et les violations de la propriété intellectuelle peuvent coûter des années de recherche et développement à une entreprise. En outre, les mesures de sécurité peuvent nuire aux objectifs économiques en augmentant les coûts et la complexité, en réduisant les performances et en limitant l'innovation.

C'est pourquoi l'OCDE encourage la gestion des risques de sécurité numérique, une approche en matière de cybersécurité axée sur les conséquences économiques et sociales des violations techniques plutôt que seulement sur les aspects techniques ou de sécurité nationale.

À un niveau opérationnel, la première étape pour gérer le risque de sécurité numérique dans les organisations est l'adoption d'une approche stratégique et la mise en place d'une gouvernance appropriée, dans laquelle la direction économique de l'organisation s'approprie les risques et travaille avec des experts techniques pour y faire face. La stratégie devrait créer un cycle d'évaluation et de traitement des menaces, où celles-ci sont systématiquement évaluées pour que la direction d'entreprise décide de la part du risque à assumer, à éviter, à réduire et à transférer.

Sur cette base, les organisations peuvent travailler avec des experts techniques pour sélectionner des mesures de sécurité qui peuvent impliquer des technologies ainsi que des aspects humains et organisationnels. Elles devraient explorer comment la sécurité peut ajouter de la valeur et créer un avantage concurrentiel. Enfin, elles devraient également prendre des mesures de résilience, de préparation et de continuité afin d'être prêtes en cas d'incident.

Au cours de la dernière décennie, nos sociétés sont devenues de plus en plus dépendantes de la technologie numérique, exposant ainsi les activités critiques à des cybermenaces croissantes. Les gouvernements sont confrontés à des pressions pour mettre en œuvre des politiques innovantes visant à renforcer la sécurité numérique des activités critiques telles que les soins de santé, l'énergie et les services de transport. Cependant, cette démarche peut entraîner des coûts et des contraintes importants pour les opérateurs d'activités critiques. Le défi politique consiste à garantir que les politiques ciblent les aspects critiques sans alourdir les autres ni entraver les avantages de la transformation numérique.

La Recommandation de l'OCDE sur la sécurité numérique des activités critiques fournit une feuille de route et des orientations aux décideurs politiques sur la manière de définir ce que les opérateurs devraient faire, de mettre en place le bon cadre institutionnel, d'établir un partenariat basé sur la confiance et de coopérer au niveau international.