ATOUTRISK N°15 HD

DOSSIER LA CYBERGOUVERNANCE À L'ÉPREUVE DE LA RÉALITÉ ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°15 I HIVER 2017/2018 19 d'ailleurs être externalisées », explique Jean-Marie Pivard. « Les politiques et les moyens mis en œuvre doivent être définis en fonction de la menace qui pèse sur l'entreprise, de la sensi- bilité et de la criticité des activités ciblées. La politique de cyber sécurité doit permettre aux métiers d'être performants et il faut s'adapter si l'entreprise a besoin d'être souple et ouverte », complète Jean-Claude Laroche. LES CINQ CLEFS D'UNE BONNE CYBERGOUVERNANCE Dans la droite ligne des travaux menés en commun notamment sur les trois lignes de maîtrise, FERMA (Fédération européenne des associa- tions de management des risques) et l’ECIIA (European Confederation of Institutes of Internal Auditing, qui regroupe les associations euro- péennes d’audit interne), ont publié en juin dernier un document sur la gouvernance du risque cyber. Intitulé «At the Junction of Governance and Cyber-security », ce document recommande : 1. La mise en place d’un groupe de travail pluridisciplinaire chargé de la gouvernance du risque cyber, le « cyber risk gouvernance group », à même d’évaluer l’exposition financière de l’entreprise en la matière et de proposer des plans de traitement et de réduction des risques, sous la houlette du directeur des risques. « Le risque cyber est transverse et infuse dans l’ensemble de l’organisation : il faut donc un espace de communication qui permette de mélanger les compé- tences : techniques, avec un aspect opérationnel important (sécurité, résistance aux menaces, surveillance des systèmes, etc.) mais aussi en matière de compliance, de métier et dans le domaine stratégique », estime Philippe Cotelle, Vice-Président de la Commission “Systèmes d'information” de l’AMRAE, en charge du digital au Board de FERMA. 2. Un mandat clair donné au Risk Manager. « Le Risk Manager est l’in- terface entre toutes les fonctions : il lui faut être capable de comprendre les problèmes IT et de discuter avec les spécialistes. Il ne s’agit pas de développer une expertise, mais d’avoir une appétence sur ces sujets », explique Philippe Cotelle. 3. Une vraie collaboration entre responsables informatiques et opéra- tionnels. « Ils sont encore trop souvent opposés dans l’entreprise. Or ce n’est que par une meilleure compréhension réciproque que l’on pourra trouver des solutions pour avancer », souligne Philippe Cotelle. 4. Une bonne communication au sein de l’entreprise sur l’impor- tance du risque cyber. « Il faut faire comprendre qu’il va bien au-delà des aspects IT », estime Philippe Cotelle. 5. Une prise de conscience par le Board. « Le cyber risque est un risque stratégique qui a une implication sur la valeur, la réputation et la supply chain de l’entreprise », souligne Typhaine Beaupérin, Déléguée générale de FERMA. Le document, accessible sur le site de FERMA et de l'AMRAE, a été élaboré par un groupe de travail composé de Risk Managers et d'audi- teurs internes de huit pays de l’Union européenne et de six secteurs économiques différents (banque, transport, défense, informatique, services alimentaires et télécommunications). L'AMRAE planche actuellement sur un guide qui sera adapté aux spécificités du marché français. « Grâce à la Loi de programmation militaire et la création de l'ANSSI, le contexte réglementaire est plus mature en France que dans beaucoup d'autres pays de l'Union européenne : il faut le prendre en compte. Par ailleurs, la ”cybergouvernance” à la française doit s'adresser en premier lieu au Comité exécutif, avant le Conseil d'admi- nistration, car ce sont les dirigeants qui pourront dégager les budgets d'investissement nécessaires à la politique de sécurité numérique », indique Brigitte Bouquot, la Présidente de l'AMRAE. « Un groupe de travail commun AMRAE-Ifaci planche actuellement sur la transcription du document, pour une publication prévue début 2018 », précise le Président de l'Ifaci, Jean-Marie Pivard. «Les conseils d'administration sont aujourd'hui sensibilisés et posent des questions aux Directions générales, qui mettent en place les structures. Mais ce sont des sujets très complexes, a fortiori dans les groupes de grande taille, qui peuvent être très éclatés, avec des milliers de filiales, implantées dans de nombreux pays. » Jean-Marie Pivard, Président de l'Ifaci