Le risque cyber n’est plus un risque technique, qui concernerait uniquement les directeurs informatiques et les directeurs de sécurité informatique mais un risque d’entreprise : le cyber risque est un sujet stratégique et un facteur de compétitivité, il fait maintenant partie intégrante du business.
La question n’est pas « est-ce nous allons être victimes d’une cyberattaque ?», mais « quand allons-nous être victimes d’une cyberattaque ? ».
Le risque zéro n’existe pas.
Le risque cyber est un meta-risque, qui touche toutes les fonctions de l’entreprise : la direction générale, la direction financière, la direction juridique, la direction des risques, la direction informatique, etc.
Le risque zéro n’existe pas.
Le risque cyber est un meta-risque, qui touche toutes les fonctions de l’entreprise : la direction générale, la direction financière, la direction juridique, la direction des risques, la direction informatique, etc.
Les cyber risques sont complexes et difficiles à quantifier, notamment à cause de l’évolution rapide de l’environnement technologique et du manque de données historiques sur les sinistres.
Il manque un vocabulaire commun et compréhensible par tous sur les enjeux de cyber sécurité, ainsi que des données objectives pour évaluer et gérer la performance cyber, se comparer et décider.
L’ensemble des parties prenantes sont concernées : actionnaires, administrateurs, management, salariés, clients, fournisseurs, partenaires… Il est donc nécessaire de définir une stratégie numérique et une gouvernance interne adéquate impliquant les fonctions IT, les responsables opérationnels et les fonctions support : moyens humains, organisation, informations communiquées à la direction générale, au conseil d’administration, mécanismes de prise de décision, procédures, dispositifs de surveillance, protection, sensibilisation et formation, gestion de crise, investissements et budget.
L’ensemble des parties prenantes sont concernées : actionnaires, administrateurs, management, salariés, clients, fournisseurs, partenaires… Il est donc nécessaire de définir une stratégie numérique et une gouvernance interne adéquate impliquant les fonctions IT, les responsables opérationnels et les fonctions support : moyens humains, organisation, informations communiquées à la direction générale, au conseil d’administration, mécanismes de prise de décision, procédures, dispositifs de surveillance, protection, sensibilisation et formation, gestion de crise, investissements et budget.
C’est la condition de la résilience de l’entreprise et demain de sa valorisation.
En raison d’un risque significatif de perte de valeur, les actionnaires, investisseurs institutionnels, hedge funds ou actionnaires activistes, chercheront à savoir quels dispositifs les entreprises, dans lesquelles ils ont investi, ont mis en place.
Des agences de notation ont été développées aux Etats-Unis, et apparaissent en Europe. Elles ont pour objectif de mettre en évidence les faits et les évènements liés à la cyber-sécurité des actifs des organisations, et les comparer aux meilleures pratiques et standards en cyber sécurité.
Enfin le conseil d’administration doit « veiller sur » et garantir ainsi aux parties prenantes que l’entreprise est gérée dans le souci de sa pérennité et de sa performance durable. Il est un facteur de confiance essentiel, ayant, entre autres, l’obligation légale de suivre l’efficacité du dispositif de gestion des risques de l’entreprise.
Des agences de notation ont été développées aux Etats-Unis, et apparaissent en Europe. Elles ont pour objectif de mettre en évidence les faits et les évènements liés à la cyber-sécurité des actifs des organisations, et les comparer aux meilleures pratiques et standards en cyber sécurité.
Enfin le conseil d’administration doit « veiller sur » et garantir ainsi aux parties prenantes que l’entreprise est gérée dans le souci de sa pérennité et de sa performance durable. Il est un facteur de confiance essentiel, ayant, entre autres, l’obligation légale de suivre l’efficacité du dispositif de gestion des risques de l’entreprise.
Le risque cyber est un risque avec lequel il va falloir s’habituer à vivre
- Mettre en place les dispositifs pour permettre à l’entreprise d’être plus résiliente (notamment garantir l’accessibilité du système, son bon fonctionnement, la confidentialité des informations et leur intégrité) relève de la responsabilité des administrateurs et dirigeants.
- Les préoccupations du directeur financier sont très larges. Les conséquences financières de la cybercriminalité pour les entreprises concernent les actifs financiers, la propriété intellectuelle et les secrets commerciaux (espionnage), la marque et sa présence sur Internet, la diffamation et atteinte à l’image (modification du site web), la continuité d’exploitation (sabotage ou la perturbation des opérations sur site web ou les sites de production), le vol et le traitement illégal de données personnelles, la divulgation d’informations confidentielles, la « fraude au Président », le changement frauduleux de comptes fournisseurs, le paiement de rançons, l’intégrité des données, les coûts d’investigation en cas d’attaque + litiges initiés par des clients, salariés, actionnaires ou partenaires et coûts de défense.
- Citons enfin le cas particulier des opérations de fusion / acquisition qui doivent faire l’objet de « due diligence » cyber spécifiques.
- La réputation est bien sûr un enjeu essentiel : plus de trois-quarts des clients font peu ou pas confiance dans les entreprises et fournisseurs qui traitent et gèrent leurs données personnelles.
L’assurance de ces risques n’est pas toujours mise en oeuvre.
La valeur des données volées est impossible à évaluer, et la police d’assurance n’empêchera pas les attaques mais interviendra pour traiter les conséquences, notamment financières, des cyber attaques. Il est donc recommandé de vérifier si le contrat couvre les événements cyber, le système d’information, et le coût de la perte d’exploitation, l’audit pour comprendre les faits, la reconstitution de ce qui a été détruit, le dommage à des tiers, le risque d’image.