1 17 19 72

ATOUTRISK N°15 HD

LA CYBERGOUVERNANCE À L'ÉPREUVE DE LA RÉALITÉ DOSSIER 18 ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°15 I HIVER 2017/2018 C yber et gouvernance. Deux mots quasi-inusités il y a dix ans, deux concepts encore mal maîtrisés il y a seulement cinq ans, et qui aujourd'hui se conjuguent comme une nécessité dans la plupart des entreprises. « La cybergouvernance régit un ensemble constitué d'une organisation, de politiques, demoyens et de tableaux de bord de contrôle, visant à garantir la cybersécurité de l'entreprise. L'objectif est de sécuriser le business et de faire en sorte que l'entre- prise ait confiance dans ses outils. Mais aussi, finalement, que les clients et partenaires puissent avoir confiance dans les produits et services de l'entreprise », explique Jean-Claude Laroche, Président du cercle cybersécurité du Cigref (Club informatique des grandes entreprises françaises). Xavier Leproux, Responsable souscrip- tion France cyber-risque chez Chubb, complète. « Il s'agit de l'en- semble des procédures, des comités, des réunions, etc. qui associent les trois éléments nécessaires à la sécurité informatique : la tech- nique, le facteur humain et la réglementation ». Depuis les attaques massives du printemps dernier – en particu- lier Wannacry et NotPetya, dont les conséquences ont été préju- diciables pour de nombreux groupes, y compris français –, le principe de la cybergouvernance s'est aujourd'hui imposé dans la plupart des entreprises. « Dans une économie qui se digitalise, la sécurité numérique est un sujet vaste, ambitieux et complexe, qui touche toutes les entreprises et tous les niveaux de l'entre- prise. D'un risque technique, c'est devenu un risque d'entreprise, systémique. Il ne peut donc être la propriété des techniciens : il faut le gouverner selon le schéma habituel des lignes de maîtrise des risques, de façon transversale, comme tous les risques d'en- treprise et la contribution du Risk Manager est capitale pour ce faire », indique Brigitte Bouquot, la Présidente de l'AMRAE. Le principe : faire travailler ensemble des professions qui n'y sont pas toujours habituées. « Il faut un travail collaboratif qui associe aussi le juridique, les ressources humaines, le Risk Management et l'audit », explique le Président de l'Ifaci (Institut français de l'audit et du contrôle interne), Jean-Marie Pivard. L'apport du Risk Management ? La méthodologie, tout d'abord - cartogra- phies, scénarios, calculs d'impact, plans d'actions et de secours - et l'habitude de missions transverses. Les responsables opéra- tionnels, premiers touchés en cas de problèmes, doivent aussi être au cœur du système. « Il faut parfois arrêter la production pour mettre en place les éléments de cybersécurité nécessaires. C'est une décision opérationnelle, aussi difficile qu'il y a quelques années l'arrêt des usines pour mettre en place des éléments anti-incendie », explique Brigitte Bouquot. Concrètement, un document récemment publié par FERMA et ECIIA (voir encadré), pose les principaux jalons d'une bonne cybergouvernance avec, tout d'abord, la mise en place d’un groupe de travail pluridisciplinaire, organisé autour du respon- sable des risques, puis une vraie collaboration avec les opéra- tionnels, une bonne communication au sein de l'entreprise, et enfin « last but not least », une prise de conscience au plus haut niveau. « La sécurité informatique est l'affaire de tous, mais cela ne marche que si l'impulsion vient de la Direction générale : il faut que la feuille de route vienne du plus haut niveau, d'un membre du Comex », souligne Xavier Leproux. En pratique, tout dépend de l'entreprise : il n'y a pas « un » schéma de gouvernance cyber, mais autant que d'entreprises ou d'organisations. « Chaque entreprise doit adapter son organisation en fonction des hommes et des compétences qui la composent. Certaines ressouces peuvent « L'objectif de la cybergouvernance est d'aboutir à la mise en place de politiques concrètes de prévention et de management des risques numériques. Avec à la clef des investissements qui sont vraiment nécessaires pour que les entreprises deviennent résilientes. Il faut aujourd'hui faire bouger les entreprises, investir et se doter d'une politique de sécurité numérique digne de ce nom. Sinon, les conséquences peuvent être extrêmement lourdes et des dispositifs de compliance encore plus coûteux verront le jour en réaction. » Brigitte Bouquot, Présidente de l'AMRAE

RkJQdWJsaXNoZXIy NTM5MDM5