Table of Contents Table of Contents
Previous Page  55 / 64 Next Page
Information
Show Menu
Previous Page 55 / 64 Next Page
Page Background

ACTUALITÉ DE L’AMRAE

LA COMMUNICATION

PÉDAGOGIQUE

ET GRAND PUBLIC

DE L’AMRAE

Au moment où l’Europe était touchée par l’at-

taque, l’AMRAE formalisa en moins de 24 heures

une information grand public à destination de la

presse sur les comportements à adopter en cas

de ransomware, rappelant au passage la néces-

sité d’organiser la cybergouvernance de l’entre-

prise.

Dès la soirée du 13 mai 2017, la commission SI de

l’AMRAE sous les plumes du duo Philippe Cotelle/

François Beaume et sous la supervision de Brigitte

Bouquot, produisait un «Do and don’t » que l’Association communiquait à

la presse, la matinée du dimanche 14 mai 2017.

OBJECTIF ?

4o]tX]der d¬PUor\er le r+le \PYedr de l¬PbboRXPtXo] e] \P]PVe\e]t de todb

les risques et montrer ici son expertise sur la thématique cyber, tant sous

deb Pb_eRtb o_ rPtXo]]elb `de de Vodeer]P]Re † e]o] do]]er Pdg leRtedrb

des différents médias des recettes immédiatement applicables.

Une réactivité et une initiative fructueuses puisque François Beaume ou

Philippe Cotelle ont donné dans les 96 heures qui ont suivi des interviews à

des médias qui n’étaient pas encore dans l’écosystème de l’AMRAE, à l’ins-

tar du Parisien ou de l’Opinion (voir page revue de presse).

Une thématique qui occupera le devant de nos scènes médiatiques pendant

de longs mois.

ÉVÉNEMENTS

COMMENT SE PRÉMUNIR ALORS QUE MÊME

LES PLUS GRANDS, CENSÉS ÊTRE AU TOP DE

LA PRÉVENTION ONT ÉTÉ TOUCHÉS ?

Le risque 0 n’existe pas, mais une bonne gouvernance du

risque cyber est l’atout essentiel pour augmenter sa rési-

lience, c’est-à-dire sa capacité à résister ou à minimiser

les impacts en cas d’attaque.

Quand cela arrive que faire ? Do and Don’t

LES «DO»

1. Réunir physiquement le plus vite possible les membres

désignés de la cellule de crise qui centraliseront les

décisions techniques, mais également la communica-

tion interne et externe, et les fonctions support RH,

Juridiques et Risk Management. La prise de décision

rapide et coordonnée est un élément clé dans la lutte

contre l’attaque.

s. 5 _ober _lPX]te Pd_r!b deb bereXReb de YdbtXRe Po] de

lutter contre cette criminalité et de pouvoir selon les

RPb d Ue]dre beb droXtb et Q ] oRXer deb Rodeertdreb

d’assurance.

3. Prévenir son assureur si une couverture d’assurance

cyber a été souscrite.

LES «DON’T»

1. En cas de ransomware, ne pas payer la rançon. Son

paiement ne garantit en rien la restauration du système

affecté. Ce paiement n’est pas couvert par les polices

d’assurance et contribue à encourager la prolifération

de cette criminalité.

2. Mal coordonner la communication

Une communication non coordonnée peut avoir un effet

négatif plus important que la conséquence de l’attaque

elle-même. Trop alarmiste, elle peut entrainer de la part

des partenaires de l’entreprise, clients ou fournisseurs,

une réaction d’inquiétude excessive et pénalisante.

:]bdUobP]te od QXe] tro_ o_tX\Xbte… elle _edt be r e ler

aussi préjudiciable en démontrant le manque de mai-

trise et de professionnalisme et est porteuse de risque

pour les entités en contact avec cette entreprise.

La réputation de l’entreprise est un des biens les plus

précieux et sa dégradation du fait d’une communication

inadaptée peut mettre des mois avant d’être restaurée.

MONÉTAIREMENT, QUELLE PRÉVENTION ET FINANCEMENT ?

La mise en place d’une vraie gouvernance des risques cyber

P˜ =P d o]XtXo] d¬d]e _olXtX`de de b RdrXt deb bhbt!\eb

d’information (PSSI) et mise en conformité aux obliga-

tions règlementaires et légales actuelles et à-venir dès

2018 pour les directives NIS et GDPR.

b) La consultation du site de l’ANSSI et du guide publié

avec la CGPME

R˜ BdP]tXoer le rXb`de RhQer _odr do]]er Pd \P]PVe\e]t

une situation claire de l’exposition de la société et un

rationnel pour les investissements à réaliser ainsi que

pour la souscription de police d’assurance cyber adap-

tée à ses besoins.

d) Organiser régulièrement la préparation à la gestion de

crise.

L’AVIS DE l’AMRAE

D'une part, la réponse dépend du scénario de risques : pertes

de données (hôpital) ou arrêt/sabotage du système (usine),

d'autre part les règlementations comme le RGDP, visent à res-

ponsabiliser celui qui a la charge des données privées (opérateur

B to C) et charge à lui de « cascader » les conséquences de ces

obligations à sa Supply chain.

Aujourd'hui cela s'effectue dans une jungle contractuelle, sur-

tout si l'opérateur n'a pas exprimé d'exigences de politique

de sécurité, ni acheté de maintenance de sécurité. Il faut alors

que soit clairement établi la défectuosité du produit (product

liability), ce qui n'est pas toujours le cas en cas d'attaque

cyber où le produit est plus victime que responsable. La

« logique dommage » des assurances cyber en est l'une

des explications.

Dans le second cas d'arrêt d'exploitation, on

retrouve les logiques de BCP/BCM.

Comment seprémuniralorsquemême lesplusgrands, censésêtreau topde lapréventionontété

touchés?

Le risque0n’existepas,maisunebonnegouvernancedu risque cyberest l’atoutessentielpour

augmenter

sa résilience, c’est-à-dire sa capacitéà résisterouàminimiser les impactsen cas

d’attaque.

Quand celaarriveque faire?DoandDon’t

Les«Do»

1.

Réunirphysiquement leplusvitepossible lesmembresdésignésde la cellulede crisequi

centraliseront lesdécisions techniques,maiségalement la communication interneet

externe,et les fonctions supportRH, JuridiquesetRiskManagement. Laprisededécision

rapideetcoordonnéeestunélément clédans la lutte contre l’attaque.

2.

Déposerplainteauprèsdes servicesde justiceafinde lutter contre cette criminalitéetde

pouvoir selon les casdéfendre sesdroitsetbénéficierdes couverturesd’assurance.

3.

Prévenir sonassureur siune couvertured’assurance cyberaété souscrite.

Les«Don’t»

1.

En casde ransomware,nepaspayer la rançon.

Sonpaiementnegarantiten rien la restaurationdu systèmeaffecté.Cepaiementn’estpas

couvertpar lespolicesd’assuranceet contribueàencourager laproliférationde cette

criminalité.

2.

Mal coordonner la communication

Une communicationnon coordonnéepeutavoiruneffetnégatifplus importantque la

conséquencede l’attaqueelle-même.Tropalarmiste,ellepeutentrainerde lapartdes

partenairesde l’entreprise, clientsou fournisseurs,une réactiond’inquiétudeexcessiveet

pénalisante. Insuffisanteoubien tropoptimiste,ellepeut se révéleraussipréjudiciableen

démontrant lemanquedemaitriseetdeprofessionnalismeainsiqueporteusede risque

pour lesentitésen contactavec cetteentreprise.

La réputationde l’entrepriseestundesbiens lesplusprécieuxet sadégradationdu fait

d’une communication inadaptéepeutmettredesmoisavantd’être restaurée.

Monétairement,quellepréventionet financement?

Lamiseenplaced’unevraiegouvernancedes risques cyber

a)

Ladéfinitiond’unepolitiquede sécuritédes systèmesd’information (PSSI)etmise

en conformitéauxobligations règlementaireset légalesactuellesetà-venirdès2018

pour lesdirectivesNISetGDPR.

b)

La consultationdu sitede l’ANSSIetdu

guidepubliéavec laCGPME

c)

Quantifier le risque cyberpourdonneraumanagementune situation clairede

l’expositionde la sociétéetun rationnelpour les investissementsà réaliserainsique

pour la souscriptiondepoliced’assurance cyberadaptéeà sesbesoins.

d)

Organiser régulièrement lapréparationà lagestionde crise.

ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE

I N°13 I

ÉTÉ 2017

55