De Marie de Fréminville, présidente Starboard Advisory
Marie.defreminville@starboard-advisory.com
Responsabilité numérique, gestion des risques cyber, assurances et certification des systèmes d’information et des produits sont de nouveaux enjeux pour l’entreprise.
- Evolution des cyber risques
L’augmentation exponentielle des vulnérabilités de l’entreprise en raison de la montée en puissance de l’internet des objets, de l’industrie 4.0 et de l’intelligence artificielle s’accompagne d’une forte augmentation de la surface d’attaque. Les cyber menaces proviennent du Cyber espionnage économique à grande échelle, la Cyber criminalité (demandes de rançons, via l’encryptage des données d’une entreprise ou la prise de contrôle de produits ou de services de l’entreprise) et le Cyber sabotage : actes de guerre ou de terrorisme visant les produits et/ou services vitaux pour la nation.
La maitrise des cyber risques est complexe, la cyber sécurité est un sujet transverse qui nécessite une approche de gouvernance des risques, des responsabilités assumées et une implication de tous les acteurs. La cohérence des approches managériale et technologique, des compétences humaines avérées, sont des facteurs clés de succès. Enfin la cyber sécurité ne doit pas être considérée seulement comme un coût, elle doit être pensée comme un levier à la réalisation des affaires, un outil au service de la compétitivité et de la performance, et comme un baromètre de la bonne santé de l’organisation. Il est possible d’éviter les attaques d’opportunité par de bonnes pratiques, une bonne hygiène, et une formation adaptée.
- Conséquences pour l’entreprise et sa gouvernance – Responsabilité de l’administrateur
Le risque cyber n’est plus un risque technique mais un risque d’entreprise, et il est donc nécessaire de définir une gouvernance et une organisation des moyens de Cyber Sécurité de l’entreprise, impliquant les fonctions IT, les responsables opérationnels et les fonctions support. C’est la condition de la résilience de l’Entreprise.
Le conseil d’administration a, entre autres, l’obligation légale de suivre l’efficacité du dispositif de gestion des risques de l’Entreprise. Les dirigeants opérationnels doivent donc prendre conscience des risques, doter l’entreprise d’un système global de gestion des risques, en confier la coordination au Risk Manager, dont la mission est de suivre les politiques de remédiation et de prévention, ainsi que le transfertà l’Assurance. Chaque entreprise doit mettre en place une politique de sécurité des systèmesd’information (PSSI) : garantir l’accessibilité du système, son bon fonctionnement, la confidentialité des informations, et leur intégrité.
- L’assurance ou la réassurance : quelle démarche et quelle offre ?
Les cyber risques sont complexes et difficiles à quantifier, plus particulièrement à cause de l’évolution rapide de l’environnement technologique et du manque de données historiques de cyber-sinistralité. La police d’assurance n’empêchera pas les attaques mais interviendra pour traiter les conséquences notamment financières de cyber attaques : la perte d’exploitation (le coût d’un système d’information qui s’arrête), l’audit pour comprendre les faits, la reconstitution de ce qui a été détruit, le vol de données confidentielles, le dommage à des tiers, le risque d’image. Il est important de vérifier que nous pouvons répondre à ces questions : mon contrat couvre t-il les évènements cyber, le système d’information est-il couvert par mon contrat ? l’assurance couvre-t-elle toutes les conséquences évoquées ci-dessus ?