High Tech cybersecurity_CC

Le cyber-risque est (aussi) une affaire de Comex !

, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

 

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

 

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

 

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

 

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques—Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

 

 

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.

 

Qui est l’auteur

20120821-DSC_4869-hervé-YSNEL

Par Hervé Ysnel, Vice-Président en charge des activités cybersécurité et gestion des risques pour CGI Business Consulting.

La Rédaction


Sur le même thème