Table of Contents Table of Contents
Previous Page  48 / 64 Next Page
Information
Show Menu
Previous Page 48 / 64 Next Page
Page Background

E

n 2015, le nombre de cyberattaques a augmenté de 51% en

France

1

. Face à un impact parfois considérable sur la trésorerie,

la réputation, les actifs, ou l’activité même des entreprises, la

réponse doit être décidée aux niveaux stratégique et opéra-

tionnel. Elle implique une gestion du risque cyber à la fois rapide

et proactive. Les enjeux sont donc fondamentaux pour les Risk Managers.

C’est pourquoi l’Institut de Recherche Technologique System X, consacré

à l’ingénierie de systèmes, coordonne en partenariat avec le financeur

du projet, Airbus Group, et l’ANSSI (Agence Nationale de Sécurité des

Systèmes d’Information) le programme EIC, dont l’un des programmes

de recherche est consacré à «

La maîtrise du risque cyber sur l’ensemble

de la chaîne de sa valeur et son transfert vers l’assurance

».

TOUTES LES PARTIES PRENANTES

DU RISQUE CYBER IMPLIQUÉES

En huit mois, «

des professions qui d’habitude

ne se parlent pas ou peu ont pu échanger au-

tour d’une table et faire une grande avancée

en la matière

», souligne Philippe Cotelle,

Risk Manager d’Airbus Defence and Space,

qui a rassemblé les parties prenantes et défi-

ni les thèmes du programme. «

Pour les parte-

naires publics, la force de ce groupe de travail

est d’avoir cassé les silos en créant un langage

commun

», abonde Bénédicte Suzan, Project

manager d'Airbus Defence and Space.

Bilan de ces travaux de recherche : la production d’un livre blanc d’ici fin

2016, «

un document opérationnel qui constituera une première mondiale,

puisqu’il s’agira de la seule démarche capable de quantifier financièrement

l’exposition au risque cyber d’une organisation, tout en fournissant une

photographie de la réponse du marché à ce risque

», souligne l’experte.

L’AMRAE, via sa Commission Systèmes d’information présidée par François

Beaume, s’est investie dans ces travaux. Là résident l’originalité et l’inté-

rêt de la démarche : «

l’analyse du risque cyber faite avec les Risk Managers,

premiers demandeurs et premier prescripteurs

», explique Philippe Cotelle.

5 RECOMMANDATIONS FONDAMENTALES ET UNIVERSELLES

«

Le livre blanc contiendra cinq recommandations qui résument nos travaux

»,

indique Philippe Cotelle. La première souligne l’importance de l’analyse

quantitative du risque cyber, fondée sur des scenarii établis par des opéra-

tionnels, et orchestrée par le Risk Manager. Si la démarche doit être adap-

tée à la taille de l’entité, «

cette méthode permettra de quantifier le risque

cyber pour les entreprises de toutes tailles

», précise le Risk Manager.

La seconde recommandation prône la définition d’un référentiel et d’un

langage communs pour permettre le dialogue entre les parties prenantes

autour de l’exposition ainsi mesurée. Ce référentiel est «

une matrice dé-

taillée, permettant de croiser les origines et les conséquences des diffé-

rents risques pour identifier une catégorie élémentaire de risque

», détaille

Philippe Cotelle. Ce référentiel commun, grande première, facilitera les

échanges entre toutes les professions de la chaîne de valeur impliquée

dans la gestion du risque cyber de l’entreprise (Risk Managers, assu-

reurs, réassureurs, experts, courtiers, actuaires, contrôleurs internes,

autorités publiques…).

La troisième recommandation implique les assureurs : elle vise à amélio-

rer la communication et la connaissance de la couverture assurantielle

du risque cyber. «

En plaquant leurs types de couverture (dommages, RC,

fraude…) sur notre matrice, les assureurs (via la FFSA) nous ont fournis

pour la première fois un mapping clair de la couverture du risque cyber.

Nous avons ainsi pu identifier les risques cyber non couverts, et observer les

superpositions de polices

», développe le Risk Manager, qui précise : «

à

l’international, la matrice sera transposable à d’autres marchés, et consti-

tuera donc un outil de benchmark pertinent entre assureurs et marchés

».

Pour gérer le flux d’informations entre assurés et assureurs, la qua-

trième recommandation préconise la création d’une plateforme «

neutre

et spécialisée, afin de garantir la confidentialité du dialogue

» par l’ANSSI.

Véritable «

observatoire de la cybersécurité

», cette plateforme devrait

permettre une «

mise en commun des analyses du risque cyber

», et sera

un «

intermédiaire permettant de définir des tiers de confiance pour sa ges-

tion entre assurés et assureurs, quand des informations stratégiques sont

échangées

», souligne Philippe Cotelle.

LE WHITE PAPER DU PROGRAMME

DE RECHERCHES IRT – SYSTEM X

Vaste projet de recherche sur la cybersécurité, EIC (Environnement pour l’Interopérabilité et

l’Intégration en Cybersécurité) comporte un volet «Gestion du risque cyber », auquel s’est

associé l’AMRAE. Objectif ? Produire un livre blanc dont les propositions innovantes seront hau-

tement stratégiques dans la lutte contre le risque cyber, à l’échelle mondiale.

LES PARTIES PRENANTES DU PROGRAMME

Plusieurs partenaires publics et privés ont contribué au programme :

FFSA, courtiers, organismes publics (ANSSI, OCDE, Conseil général

de l’Économie, de l’Industrie, de l’Énergie et des Technologies,

Conseil Économique, Social et Environnemental, Ministère de l’Éco-

nomie et des Finances), AMRAE, FERMA, IRT System X, Institut des

Actuaires, des juristes…

Philippe Cotelle,

Risk Manager,

Airbus Defense and Space

1

source : enquête PwC «The Global State of Information Security®Survey 2016»

ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE

I N°10 I

SEPTEMBRE 2016

48

ACTUALITÉ DE L’AMRAE

PUBLICATIONS

1 43 44 45 46 47 48 49 50 51 52 53 54 64  FlippingBook