Table of Contents Table of Contents
Previous Page  31 / 84 Next Page
Information
Show Menu
Previous Page 31 / 84 Next Page
Page Background

DOSSIER

LE RISK MANAGER AU DÉFI DES NOUVELLES PRISES DE RISQUES

ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE

I N°12 I

MARS 2017

31

immédiatement Marc Ayadi. Les entreprises doivent alors faire des

choix

1

. Comme il est impossible de tout protéger de manière optimale,

tant pour des questions de coûts que de capacité de fonctionnement,

le Risk Manager doit identifier les points les plus sensibles pour les

mettre hors de portée : il s'agit de créer des bulles hyper verrouillées

au sein d'un système d'information sécurisé plus classiquement, un

peu comme des coffres-forts blindés dans une maison fermée à clef.

Dans ce cadre, la capacité d'analyse des risques est plus importante que

jamais. Elle doit impliquer l'ensemble des opérationnels. «

Pour mener une

stratégie de lutte efficace, il est essentiel demobiliser la direction générale

»,

ajoutait Marc Ayadi en s'adressant aux gestionnaires des risques. «

Il est

essentiel de mettre en place des stratégies de parades pour devenir aussi

agiles que les attaquants eux-mêmes. Laméthode employée ?Embaucher des

”white hackers”, ou des ”gentils pirates”. Nous avons deux équipes - une de

cybersécurité classique et une d'attaquants – qui ne communiquent pas. La

seconde attaque la première, jusqu'à que cette dernière trouve la parade !

»,

a illustré lors de la réunion plénière de clôture Christian Ledoux, Directeur

de programme chez Alliance Renault Nissan. Ce jeu itératif du chat et de la

souris permet à l'entreprise de trouver ses failles et de les corriger… afin

d'éviter le cauchemar d'un véhicule autonome piraté.

Avec le développement exponentiel des objets connectés, la question

de la sécurité va prendre une toute autre ampleur. «

Trop souvent, en

matière d'objets connectés, la question de la sécurité est posée après

la conception

», a alerté Philippe Vappereau, ancien Délégué général

au Risk Management de la RATP. D'ici peu, le privacy by design pour-

rait s'imposer en termes de bonnes pratiques. «

Il s'agit de prendre

1

AMRAE en collaboration avec l’Institut de Recherche Technologique «SystemX» , Airbus, la Fédération Française de l’Assurance (FFA) et la Federation of European Risk

Management Associations (FERMA), va prochainement publier un Livre blanc visant à diffuser aussi bien auprès des entreprises que des assureurs, des préconisations

opérationnelles de management du risque cyber (identification, quantification, prévention) et des propositions pour améliorer les conditions de transfert de ce risque à

l’assurance.

DONNÉES PERSONNELLES,

UN DOSSIER URGENT À ANTICIPER

Àmoins de 500 jours de l'entrée en vigueur de la Directive euro-

péenne sur la protection des données à caractère personnel

(dite «GRPD» ou «GPDR», en anglais), le Risk Manager doit

impérativement se saisir de la question. Si la notification de la

perte de données n'est pas effectuée dans les 72 heures, l'en-

treprise risque des amendes administratives pouvant atteindre

4 % de son chiffre d’affaires mondial (dans la limite de 20

millions d'euros). «

Le Risk Manager a un rôle central en amont

comme en aval, et notamment dans la préparation du plan de

gestion de crise »,

rappelle Loïc Leymarie, Directeur risques,

compliance et assurances du Groupe Adeo, groupe mondial de

magasins spécialisés dans le bricolage et la décoration (voir

Atout Risk Manager n°11).

« Il doit coordonner les opération-

nels, les commerciaux, la finance, la communication…

».

Mais, selon Jean-Pierre Mistral, Directeur global data privacy

de Gemalto, « 

le sujet peut être vu comme une opportunité

business

». Ainsi a-t-il expliqué «

travailler sur le chantier de

la protection des données depuis juillet 2013 avec la Directrice

des risques corporate et du contrôle interne de Gemalto, Sophie

Mauvieux (Administratrice de l’AMRAE). Dès le début, nous

avons choisi de prendre le règlement général sur la protection

des données (GRPD) comme référence car il est l'un des plus

exigeants. Ce choix du niveau de protection le plus élevé, nous

permet d’être en conformité avec les lois et règlements des pays

ayant des dispositions légales spécifiques sur la protection des

données personnelles.

»

Jean-Pierre Mistral,

Directeur global data

privacy de Gemalto

Sophie Mauvieux,

Administratrice

de l’AMRAE

Loïc Leymarie,

Directeur risques,

compliance

et assurances

du Groupe Adeo

«Malgré une incontestable progression

en cybersécurité, l'écart continue de

se creuser entre l'état de l'art dans les

entreprises et les capacités sans cesse

plus innovantes des pirates. »

Marc Ayadi, EY

1 26 27 28 29 30 31 32 33 34 35 36 37 84  FlippingBook