30 / 84
DOSSIER
LE RISK MANAGER AU DÉFI DES NOUVELLES PRISES DE RISQUES
Laurent Heslault,
Directeur chez Symantec
Corporation
Philippe Cotelle
,
Risk Manager d'Airbus
Defense and Space
ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE
I N°12 I
MARS 2017
30
ESCROQUERIES ET MENACE NATIONALE
L'une des plus récurrentes actuellement est celle du
ransomware. Les pirates cryptent l'intégralité des
données d'une entreprise et demandent une rançon
pour les déchiffrer. La démarche est très commerciale
et les sommes exigées semblent raisonnables… Pour
autant, dans la grande majorité des cas, les données ne
seront pas restituées après paiement. Si la fraude aux
faux virements continue de faire recette, c’est surtout
le risque de vol des données personnelles qui est actuel-
lement sur le devant de la scène. Non seulement ceux
qui les dérobent ont la garantie de pouvoir les revendre
sur le «Darkweb », mais la réglementation va bientôt
accroître lourdement les conséquences pour l'entreprise
d'une telle perte. La directive européene, applicable dès
mai 2018, rend obligatoire la communication de toute
perte de données aux individus concernés, dans les 72
heures qui suivent le délit. Avec, bien sûr, des consé-
quences en termes de réputation. «
Quand une société
notifie une perte à ses clients, elle perd la confiance de
82 % d'entre eux
», a rappelé Gérôme Billois, Consultant
chez Wavestone, lors d'un atelier consacré au sujet.
Sans compter que «
certains cybercriminels vont jusqu'à
saturer le centre d'appel pour le rendre indisponible
»,
complétait Laurent Heslault, Directeur chez Symantec
Corporation. Impossible alors de rassurer les clients…
Si ce sont bien toutes les formes d’escroqueries qui
tiennent le haut du pavé, les professionnels observent
aussi un risque plus rare mais bien plus dangereux : les
atteintes directes contre les systèmes d’information.
«
Dans lemonde industriel, nous sommes passés d’un risque
technique à un risque d’entreprise
», a expliqué Philippe
Cotelle, Risk Manager d'Airbus Defense and Space et Vice-
président de la commission SI de l’AMRAE, lors de l'atelier
consacré aux cyber-attaques sur sites industriels. «
Pour
une seule occurrence, une attaque, les impacts sont multi-
ples sur le cours de Bourse, la réputation, les pertes d’op-
portunité, le vol de données…
» Surtout, quand il s'agit de
sites stratégiques, la menace peut aller jusqu'à affecter la
sécurité nationale. De véritables scenarios catastrophes
sont aujourd’hui possibles : prise de contrôle d'un train,
empoisonnement de l'eau potable, sabotage d'une
centrale nucléaire, détournement de fonds bancaires,
extinction totale d'Internet…
La prise de conscience générale date de 2010 avec l'ap-
parition de Stuxnet, un ver informatique conçu
pour s’attaquer aux centrifugeuses iraniennes
d’enrichissement d’uranium. Face au danger
de voir nos usines et nos installations
stratégiques être attaquées, l’État a pris
les devants. La loi de programmation
militaire de 2013 prévoit une montée en
niveau à cadence accélérée pour les systèmes les plus
sensibles, avec l’aide de l’Agence nationale de sécu-
rité des systèmes d’information. Des années après, les
entreprises travaillent toujours à leur sécurité (voir
encadré “La gestion des risques cyber, une question de
sécurité nationale”).
ANTICIPER LE RISQUE CYBER
DÈS LA CONCEPTION
On peut se demander aujourd'hui si cette course en
avant aura un jour une fin ? «
Malgré une progression
en cybersécurité incontestable, l'écart continue de se
creuser entre l'état de l'art dans les sociétés et les capa-
cités sans cesse plus innovantes des pirates
», répondait
Gérôme Billois,
Senior Manager
chez Wavestone
«Pour une unique attaque,
les impacts sont multiples :
sur le cours de Bourse,
la réputation, les pertes
d’opportunité, le vol de
données…»
Philippe Cotelle,
Airbus Defense and Space