Dirigeants et Administrateurs : comment intégrer le Cyber Risque dans la Stratégie et la Gouvernance de votre Entreprise ?

© 2018 – Alexandre HASSLER

Les premières Cyber attaques massives sont apparues dans les années 1990. Elles ont gagné en médiatisation au fur et à mesure que les outils technologiques ont envahi les quotidiens des entreprises puis des consommateurs. A l’aube de 2019, il est difficile de ne pas trouver un article de presse généraliste ne débattant pas de la vulnérabilité des entreprises au Cyber Risque ou ne recensant pas des cas de Cyber attaques toujours plus spectaculaires et toujours plus coûteuses.

Pourtant, étonnamment, le débat de la protection des entreprises face aux Cyber menaces et des stratégies à mettre en place pour contrer le Risque Cyber n’a que rarement dépassé le périmètre des Directions Informatiques. Si pendant un temps en effet, le fait d'analyser la question uniquement sous le prisme de la technique informatique a pu s'avérer efficace, force a été de constater que, au fil des années, pour se protéger efficacement du Cyber Risque, il est aussi devenu nécessaire d'en identifier les enjeux stratégiques pour l’Entreprise et de comprendre en détails les conséquences économiques d'une Cyber attaque.




Audit du Cyber Risque, Cyber Risk Management et Cyber Risk Appetite : des éléments décisifs de Gestion économique et de Gouvernance des Entreprises


C'est un fait devenu désormais incontestable : les systèmes d'information innervent l'ensemble des activités d'une Entreprise, de ses fonctions et de ses métiers. En toute logique, il est donc naturel de s'intéresser à la gestion du Cyber Risque non plus seulement via une approche technologique mais surtout via une approche économique transversale. Prenons un exemple. L’industrie financière fait partie des cibles privilégiées de Cyber attaques ou de tentatives d’agression numérique ; ce n’est pourtant pas le secteur d’activité le moins préparé techniquement et technologiquement à ces nouvelles menaces. A l’inverse, des millions de PME n’ont jamais recensé la moindre attaque alors que leur hygiène numérique et informatique peut laisser à désirer. Ainsi, se limiter à une composante purement technique pour l’audit et la gestion du Risque Cyber n’a pas de sens économique dans la durée.

Analyser, contrôler ou auditer les Risques de Cyber attaque, c'est en appréhender la profondeur des problématiques, la complexité des phénomènes et l'amplitude des enjeux sous-jacents. Les impacts transversaux du Cyber Risque sur l’Entreprise, ses activités et son Organisation sont en effet multiples et très variés : supply chain, outil de production, ressources humaines, stratégie économique, réputation, responsabilité vis-à-vis des tiers… Ils doivent dont être au cœur des préoccupations de la Gouvernance et faire l’objet d’une attention toute particulière par les Administrateurs des Sociétés dans l’exercice de leur mandat. De multiples exemples de Cyber attaques massives aussi bien auprès de multinationales de renom que de PME pourtant moins connues montrent qu’elles sont capables de mettre en péril les entreprises elles-mêmes. La Gouvernance du Risque Cyber, par une gestion saine et éclairée, est de la responsabilité des Dirigeants et Administrateurs qui doivent ainsi d'une part évaluer leur Cyber Risk Appetite, c'est-à-dire leur seuil de tolérance économique au Cyber Risque, et d'autre part veiller à l'intégrité financière et opérationnelle de leur Entreprise en cas de Cyber attaque ou d'incident cybernétique majeur.

Alors que s’opère la vague de digitalisation des entreprises, il est donc bon d’intégrer la gestion du Cyber Risque dès la conception des nouveaux systèmes d’information, des nouvelles applications, et des nouveaux processus opérationnels de l’Entreprise et d’ajouter la dimension Cyber dans les procédures de contrôle interne et dans la stratégie économique de celle-ci. C’est précisément ce que permet de définir une politique de Cyber Risk Management émanant de la Gouvernance ou un Audit de Cyber Risque mené de manière transversale au sein de l’Entreprise à partir d’une étude qualitative et quantitative des impacts économiques et opérationnels d’une Cyber attaque sur elle-même, sur toute sa chaîne de valeurs et sur son écosystème.




Modéliser et Définir son Cyber Risk Appetite puis Analyser les conséquences opérationnelles et financières d’une Cyber Attaque grâce au Big Data


La principale problématique de l'Analyse et l'Audit du Cyber Risque rencontré par tout Dirigeant ou Administrateur, c'est qu'il se transforme rapidement en un manifeste très technique destiné aux spécialistes du jargon informatique. Et il ne permet pas forcément d'envisager en matière de Gouvernance quelles sont les mesures prioritaires à mettre en place pour prévenir le Cyber Risque, puis de déterminer quels seraient leurs effets économiques dans la durée sur la gestion du Risque. Pour cela, seule une approche holistique à la fois qualitative et quantitative permet ainsi de définir une politique de gestion des Risques Cyber utile et efficace, ou d’établir dans un rapport d’audit de Risques Cyber des recommandations judicieuses, économiquement viables et opérationnellement réalisables. A l’inverse, une trop longue littérature technique n’accordant pas ou trop peu d’importance à la dimension quantitative risquera d’être reléguée dans un fond de tiroir, tandis qu’une ennuyeuse énumération de statistiques effrayantes sera plutôt adaptée aux peu subtils (mais nombreux) gourous du Marketing de la Peur. Préférez donc une démarche positive et constructive où les analyses qualitatives s’appuient sur des arguments quantitatifs pertinents et scientifiquement fondés.

A ce titre, la modélisation probabiliste par le recours à des techniques actuarielles et des méthodes de type Big Data permet justement d’apporter une vision quantitative rationnelle complémentaire aux analyses qualitatives traditionnellement menées. Il est par exemple possible de mesurer de manière extrêmement précise et granulaire, par des métriques économiques et financières fiables, l’efficacité d’un programme de prévention du Risque Cyber, les impacts d’une Cyber attaque, en matière de dommage subi, de continuité d’activité ou de reprise d’activité. Il est aussi très intéressant de déterminer l’efficacité d’éventuels montages de transferts de risques par des contrats de Cyber assurance ou par des captives, à la fois en matière de garanties souscrites et à la fois en matière de quantité de Cyber assurance achetée. De manière corollaire et non des moindres, une telle démarche active d’analyse, de modélisation et de gestion du Cyber Risque vise aussi à dégager de larges économies opérationnelles immédiates et concrètes.

En matière d’intelligence économique, la modélisation du Risque Cyber intégrée à un audit de Cyber Risque ou à une stratégie de Risk Management permet alors aux Dirigeants et aux Administrateurs des entreprises de s’assurer d’une part de l’adéquation des mesures de prévention et de contrôle interne mises en place, et d’autre part de faire en sorte que leur Organisation devienne extrêmement résiliente à des attaques informatiques massives amenées à devenir de moins en moins exceptionnelles. Et à la vue des déboires financiers essuyés par des grands noms de l’économie mondiale victimes de Cyber attaque, il est à parier que les Autorités de Contrôle et les Investisseurs du monde entier seront de plus en plus sensibles à une Gouvernance du Risque Cyber prospective, saine et durable.




RISK INTELLIGENCE
Risques Cyber & Risques Extrêmes

LYON RE est une Entreprise de l'Insurtech spécialisée dans l’Ingénierie, la Modélisation et l’Analyse des Risques Cyber et des Risques Extrêmes. En combinant algorithmes actuariels prédictifs, Ingénierie des Risques, et Intelligence économique, LYON RE conseille les Compagnies d’Assurance et de Réassurance, les Entreprises et les Institutions publiques dans leur politique de Risk Intelligence.



Blog & Actualités