1 20 22 72

ATOUTRISK N°15 HD

DOSSIER LA CYBERGOUVERNANCE À L'ÉPREUVE DE LA RÉALITÉ ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°15 I HIVER 2017/2018 21 gouvernance. « Le sujet du cyber est clairement entré dans la jauge des dirigeants, à son juste niveau de préoccupation, mais il reste à mettre les choses en place. L'effort nécessaire pour atteindre un niveau de risque acceptable est énorme et il conditionne la maturité de la Cyber Assurance », indique Brigitte Bouquot. « Les conseils d'administration sont aujourd'hui sensibilisés et posent des questions aux Directions générales, qui mettent en place les structures. Mais ce sont des sujets très complexes, a fortiori dans les groupes de grande taille, qui peuvent être très éclatés, avec des milliers de filiales, implantées dans de nombreux pays », complète Jean-Marie Pivard. GUERRE DE TERRITOIRES Premier écueil : la cybergouvernance achoppe souvent sur un quoti- dien débordé. « Les priorités vont logiquement au développement de l'ac- tivité et les dirigeants manquent de prise de recul sur le sujet du cyber : ils reportent l'analyse du sujet à un temps «plus calme», qui ne vient jamais... jusqu'au sinistre », estime Jean Bayon de La Tour. Ensuite, les ressources ne sont pas toujours disponibles : les experts de la cybersécurité sont actuellement rares sur le marché. Enfin, l'enjeu est aussi politique : comme beaucoup de sujets dans l'entreprise, la cybergouvernance est, aussi, un territoire à gagner et donc un enjeu de pouvoir. Avec notamment, d'un côté, les directeurs du risque qui revendiquent la méthodologie, les cartographies et les réflexes néces- saires au traitement de ce nouveau risque. De l'autre, les responsables informatiques qui ont la technicité et les moyens de comprendre ce domaine que beaucoup jugent ardu. Mieux « armés », ils semblent plus « inquiets » que beaucoup d'autres acteurs dans l'entreprise. Ou, du moins, davantage conscients de la vulnérabilité de leur organisation... En réalité, la vraie question n'est pas de savoir qui, sur le terrain, préside le « CRI » (Comité des risques informatiques) mais qui « possède » le cyber risque. Et là, les réponses sont désormais unanimes. « Le CEO ! Le cyber risque est avant tout un risque business : le premier «Le cyber risque est avant tout un risque business : le premier risque, avant même la perte de données et l'atteinte à la réputation, est la perte d'activité de l'entreprise. Il faut que les dirigeants prennent conscience de ce que ne plus facturer implique... » Fabrice Domange, Président du Directoire et CEO de Marsh France UN COMITÉ DES RISQUES INFORMATIQUES ACTIF DEPUIS 2015 CHEZ RENAULT C'est en 2015 que le comité des risques informatiques (CRI) a ressuscité au sein du groupe Renault. « Nous avions mis en place ce comité il y a plusieurs années mais il n'était pas actif. Nous l'avons relancé il y a deux ans, après un gros incident : le cyber risque est actuellement un risque majeur et prégnant. Il faut lui accorder une gouvernance un peu particulière car l'entreprise doit prendre conscience, collectivement, de son importance. Il ne s'agit pas de trouver un bouc émissaire en la Direction des Services informatiques : tout le monde a sa part dans la prévention du cyber risque... », explique Farid Aractingi, Directeur audit, maîtrise des risques et organisation du constructeur automobile. Le CRI de Renault rapporte au Comité des risques et du contrôle interne, qui lui même rapporte au Comité exécutif et au Comité d'audit du Conseil. Il permet de mettre autour de la table un certain nombre de compétences sur le sujet de la cybersécurité : informatique, gestion des données, sécurité, risques et audit. « Se réunissant sur une base trimestrielle, il permet d'imprimer un rythme aux techniciens qui planchent sur les sujets. Nous faisons le point sur les incidents et leur impact, les plans de réduction des risques, les PCA/PRA, etc., et c'est l'occasion d'avoir l'attention du management. Il est présidé par un opérationnel du niveau Comex : c'est important car, en cas d'incident, c'est le business qui sera en premier lieu affecté. Il faut aussi avoir un engagement au plus haut niveau de l'entreprise, pour pouvoir valider les engagements financiers éventuellement nécessaires ». Le CRI a d'ailleurs tiré les conséquences de l'attaque Wannacry, qui a touché le groupe automobile au printemps dernier. « Lors de Wannacry, c'est le Comité de crise informatique qui est intervenu. Il a très bien fontionné et les équipes sont parvenues à régler le problème assez rapidement, faisant preuve d'héroïsme dans l'urgence. Le Comité des risques informatiques a été convoqué plus tard, à froid, pour faire le point », explique Farid Aractingi. Mais, quelle que soit son utilité actuelle, ce comité ad hoc ne devrait pas perdurer indé- finiment. En effet, le Responsable audit et maîtrise de Renault considère qu'à terme, le risque informatique devrait devenir un risque parmi d'autres. « Quand le sujet du risque informatique sera bien entré dans les mœurs, il n'aura plus besoin d'un traitement spécifique », juge-t-il. Farid Aractingi, Directeur audit, maîtrise des risques et organisation, groupe Renault

RkJQdWJsaXNoZXIy NTM5MDM5