1 19 21 72

ATOUTRISK N°15 HD

LA CYBERGOUVERNANCE À L'ÉPREUVE DE LA RÉALITÉ DOSSIER 20 ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°15 I HIVER 2017/2018 DES DEGRÉS DE MATURITÉ TRÈS DIVERS Reste que, de ces grands principes de cybergouvernance, unanimement partagés, à la mise en œuvre sur le terrain, il y a souvent... un abysse. « Dans beaucoup d'entreprises, nous constatons que les différents respon- sables impactés par le cyber au niveau de l'équipe direction – DSI, CFO, RM, Directeur juridique et Directions générales – se sont très peu concertés. Chacun gère le sujet à son niveau sans en avoir une vision globale. En tant qu'experts des risques d'entreprise, nous avons souvent un rôle de “coor- dinateur” qui nous conduit à provoquer des réunions où, pour la première fois, tous sont réunis autour de la même table. Ils découvrent alors leur valeur ajoutée respective et comprennent mieux les enjeux des autres responsables de l'entreprise », expliquent Fabrice Domange, Président du Directoire et CEO de Marsh France et Jean Bayon de La Tour, Responsable du développement cyber pour l'Europe Continentale chez Marsh. Une étude récente réalisée au niveau européen par l'assureur Chubb (voir encadré ci-contre) confirme que seuls 35% des respon- sables interrogés (IT ou Risk Management) estiment qu'il existe, sur le sujet du cyber, une bonne collaboration entre les différents services dans leur entreprise. À tel point que, avant même de penser à « placer » des polices cyber, courtiers et assureurs estiment avoir actuellement un rôle de « sensibilisation et d'explication ». Les petites entreprises, notamment, ont beaucoup de mal à s'or- ganiser. « Il y a eu une amélioration de la 'cyber hygiène' c'est à dire que les règles minimum ont été mises en place (sauvegardes, mots de passe, etc. ) mais il reste beaucoup de travail : le degré de préparation, notamment en matière de gestion des données personnelles, est encore largement insufisant et l'on ne peut pas encore parler de cybergou- vernance.. . », estime Xavier Leproux. Un manque de préparation qui tient notamment à l'idée – fausse, mais largement répandue dans les petites entreprises - qu'elles n'intéressent pas les cyber-attaquants et ne seront pas ciblées. Dans les grandes entreprises ? S'il y a vrai- ment eu une prise de conscience sur les enjeux cyber au cours des 12-18 derniers mois, cela n'a pas suffi à régler tous les problèmes de SEULS 35% DES RESPONSABLES ESTIMENT AVOIR UNE BONNE COLLABORATION ENTRE SERVICES Une étude réalisée récemment par l'assureur Chubb au niveau européen (1) montre que la cybergouvernance pêche encore souvent dans les grands groupes : seuls 35% des responsables interrogés estiment qu'il y a dans leur entreprise une véritable collaboration inter-services en matière cyber. « De nombreuses entreprises semblent avoir du mal à instaurer des modèles de gouvernance qui favorisent une approche cohérente » du risque cyber, juge Chubb dans son rapport. Résultat ? Risk Managers et professionnels de l’IT ne perçoivent pas les cyber menaces de la même façon. « Les responsables informatiques ont plus conscience de l'importance du risque cyber aujourd'hui dans leur entreprise : ils savent tous que nul n'est à l'abri, qu'ils risquent tous de se faire ”taper”, pour reprendre les termes qu'ils emploient ! Les autres fonctions n'ont pas toutes pris la mesure du problème, même parmi les responsables des risques », résume Xavier Leproux, Responsable souscription France cyber-risque chez Chubb. « Les responsables IT ont compris qu'il n'était pas possible de tout protéger, mais les Risk Managers n'en sont pas encore totalement convaincus », explique Daniel Acobs, Cyber Insurance Manager pour le Benelux chez Chubb. La diffé- rence d'appréciation porte non seulement sur l'ampleur des dégâts possibles, mais aussi sur leurs conséquences. Ainsi, 41% des responsables informatiques jugent qu'un événement cyber ferait tomber le cours de bourse de l'entreprise, contre seulement 27% des responsables des risques. L'impact sur les résultats est respectivement attendu par 42% et 23% des responsables. L'estimation financière est aussi un sujet de divergence : 65% des responsables informatique et 53% des responsables des risques pensent être en mesure d'évaluer le coût d'un événement. (1) « Bridging the CyberRisk Gap » repose sur une enquête menée auprès de plus de 250 responsables de l’IT et du Risk Management, au sein de grandes entreprises européennes (Chiffre d’affaires annuel supérieur à 500 millions de dollars). «L'objectif de la cybergouvernance est de sécuriser le business et de faire en sorte que l'entreprise ait confiance en ses outils. Mais aussi, finalement, que les clients et partenaires puissent avoir confiance dans les produits et services de l'entreprise. » Jean-Claude Laroche, Président du cercle cybersécurité du Cigref Jean Bayon de La Tour, Responsable du développement cyber pour l'Europe Continentale chez Marsh

RkJQdWJsaXNoZXIy NTM5MDM5