3 étapes pour gérer le Risque Cyber en Entreprise grâce au Cyber Risk Appetite

© Alexandre HASSLER

Protéger techniquement une infrastructure numérique face à des agressions d’un nouveau genre, c’est tout l’enjeu des équipes de Cyber Sécurité des entreprises. Ce travail est réalisé depuis de nombreuses années par des experts aguerris qui se sont adaptés aux menaces polymorphes nées des évolutions technologiques et des changements comportementaux. Entre temps, les systèmes d’information se sont complexifiés et se sont interconnectés pour former de vastes ensembles hétérogènes aux fonctionnements différents. L’ère du Cloud Computing a également radicalement changé l’appréhension du Risque Cyber d’un point de vue technique, économique et stratégique. Des systèmes autorisant, des millions de connexions simultanées, fonctionnant en temps réel pour des applications parfois sensibles montrent aisément qu’ils ont un ancrage extrêmement profond dans les modèles économiques et opérationnels des entreprises d’aujourd’hui. Le Cyber Risque ne peut donc se limiter à sa composante technique et va bien au-delà de la seule responsabilité des Directions informatiques ou des Responsables de la Sécurité des Systèmes d’Information.

A l’heure où les systèmes et logiciels sont mis à jour quotidiennement et sont sollicités en temps réel, à l’heure où la typologie des Cyber menaces évolue de manière dynamique au fil des ruptures technologiques, il est devenu nécessaire de compléter l’approche technique de Cyber Sécurité par un paradigme permettant d’obtenir une vision stratégique et prospective du Risque Cyber, de manière moins coûteuse, et faisant davantage la place à des considérations économiques et financières plutôt qu’à des subtilités techniques connues des seuls spécialistes. Pour un Dirigeant d’Entreprise, un Administrateur, un Auditeur ou un Risk Manager, il est en effet plus pertinent d’évaluer les coûts et dommages que peuvent occasionner une Cyber Attaque sur son Entreprise, et de mesurer les effets d’une politique de Prévention, de Cyber Sécurité ou de Cyber Assurance sur la réduction du Risque d’un point de vue financier, que de connaître les détails techniques de chaque nouvelle version des logiciels utilisés dans l’Entreprise. Une telle méthode a aussi l’avantage d’être beaucoup moins coûteuse et chronophage ; en voici un Guide résumé en trois étapes pour protéger efficacement et durablement son Entreprise des Cyber Attaques.




1) Cartographier les Risques Cyber, Modéliser puis Calculer le Coût d’une Cyber Attaque

La Gestion du Risque Cyber s’inscrit dans une démarche globale au sein de l’Entreprise car la stratégie définie aura un impact transversal sur l’ensemble des fonctions et de l’activité de celle-ci. En matière de Risk Management, après avoir réalisé une première Cartographie des Risques Cyber, l’un des premiers réflexes est de calculer de manière précise le Cyber Risque auquel son Entreprise est exposée et de chiffrer les coûts potentiels de Cyber Attaques d’intensités variées. Le recours à des technologies de simulations probabilistes de Cyber incidents constitue une révolution dans l’analyse et la gestion des Cyber Risques car elles permettent de piloter une stratégie de Prévention Cyber et de Cyber Sécurité de manière beaucoup plus agile et rapide, à moindre frais, et viennent remplacer des audits informatiques périodiques lourds, onéreux, très chronophages et devenant rapidement obsolètes ; audits techniques qui sont donc beaucoup moins adaptés aux Entreprises et Collectivités en pleine transformation digitale.

A l’image de celle proposée par LYON RE, de telles technologies d’analyse des Cyber Risques sont le fruit de plusieurs années de R&D et d’un savoir-faire unique combinant les compétences de Professionnels du Risques, de Data Scientists, d’Ingénieurs et d’Experts de la Sécurité informatique. Ces modèles mathématiques complexes permettent ainsi aux Industries et Entreprises de Services de cartographier et chiffrer les conséquences opérationnelles et financières de n’importe quel incident Cyber avec une approche scientifique valide et éprouvée.



2) Instaurer une Gouvernance Cyber durable via un indicateur de Cyber Risk Appetite

Dès lors que le Risque Cyber de son Organisation a été calculée et modélisée, puis les impacts économiques de Cyber Attaques analysées, il convient de disposer d’outils permettant un pilotage agile de la stratégie de Gestion des Cyber Risques de l’Entreprise, ceci de manière évidemment prospective compte tenu de la nature du Cyber Risque. De ce point de vue, le Cyber Risk Appetite constitue un indicateur très efficace de Gestion du Risque Cyber à vocation décisionnelle, complémentaire à la Cartographie des Cyber Risques précédemment réalisée. Il a en effet l’immense avantage de proposer une vue quantitative directe du niveau d’acceptation, d’appétence et de tolérance au Cyber Risque, sous contraintes de coûts et de performances données, par une approche financière accessible à n’importe quel Dirigeant, Administrateur, Risk Manager ou Auditeur non-initié au jargon technique informatique. Mettre en place un cadre efficace de Cyber Risk Appetite suppose d’avoir précédemment calculé le Risque Cyber de son Entreprise de manière très granulaire et d’évaluer l’appétence au Cyber Risque en fonction du profil de son Entreprise, de sa Stratégie et surtout de son modèle économique. Le Risque Cyber n’étant pas figé par nature, le recours à des technologies de simulations probabilistes du Risque Cyber rend aussi possible une analyse prospective du Cyber Risque, en tenant compte des évolutions technologiques et des transformations socio-économiques, afin de pouvoir ajuster les indicateurs de Cyber Risque de manière dynamique.

Parallèlement, le Cyber Risk Appetite permet aussi aux Responsables de Sécurité Informatique et autres Professionnels de l’IT de communiquer bien plus efficacement avec la Gouvernance pour s’assurer une meilleure écoute auprès des plus hautes instances décisionnaires ou pour même parfois justifier la nécessité d’ajustement de budgets par une argumentation économique et financière en complément d'une approche technique.



3) Définir et Optimiser une Stratégie de Prévention et d’Assurance des Cyber Risques

Toute démarche de Gestion des Risques résiliente et durable a forcément un caractère cyclique : après avoir calculé son Cyber Risque et défini une stratégie de Prévention et d’Assurances compatible avec son Cyber Risk Appetite, il est critique d’évaluer ses effets sur la réduction du Risque d’un point de vue purement financier à court et long terme. Tout changement intervenant dans la structure du Cyber Risque de son Entreprise (par exemple : un nouveau fournisseur majeur, l’attribution d’un marché sensible, un changement technologique radical…) doit aussitôt s’accompagner d’une réévaluation de sa Stratégie de Gestion des Risques pour s’assurer que celle-ci soit cohérente avec son Cyber Risk Appetite et, si nécessaire, réaliser un ajustement en matière de Prévention, de Cyber Assurances, de Contrôle voire d’Audit Cyber. A titre d’exemple, une démarche active et innovante de Gestion des Risques chez une Multinationale a pu mener à une réduction de 35 % de sa prime d’Assurance pour une maîtrise du Risque rigoureusement équivalente.

En mettant à profit son expérience, son savoir-faire et sa technologie, LYON RE vous accompagne dans la mise en place du Cyber Risk Appetite et l’optimisation de la Gestion du Risque Cyber pour votre Société, aussi bien pour les Dirigeants, Administrateurs, Risk Managers ou Auditeurs souhaitant mieux appréhender les impacts économiques du Risque Cyber sur leur Entreprise et minimer leurs coûts de Cyber Assurances, que pour les Directions informatiques cherchant à davantage valoriser leurs travaux techniques auprès de leur Gouvernance avec une analyse financière du Cyber Risque.




RISK INTELLIGENCE
Risques Cyber & Risques Extrêmes

LYON RE est une Entreprise de l'Insurtech spécialisée dans l’Ingénierie et la Modélisation des Risques Cyber et des Risques Extrêmes. En combinant son expertise actuarielle à sa technologie de simulations et d'analyse des Risques, LYON RE conseille les Compagnies d’Assurance et de Réassurance, les Entreprises et les Institutions publiques dans leur stratégie de Risk Intelligence.



Specialty Risk Engineering