1 35 Table of Contents 37 92

AMRAE - ATOUT RISK MANAGER

DOSSIER RENCONTRES AMRAE 2018 : L’INTELLIGENCE DES RISQUES POUR FRANCHIR DE NOUVEAUX CAPS 1 Club des experts de la sécurité de l'information et du numérique. ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°16 I PRINTEMPS 2018 36 LE PODIUM DES PIRES SCÉNARIOS DE CYBER-RISQUES OR - RANÇONGICIEL OU RANSOMWARE L e ransomware, ou « rançongiciel » - cryptage des données suivi d'une demande d'une rançon - est non seulement l’attaque la plus fréquente (73% des attaques, Cesin) mais aussi une des plus coûteuses. Saint-Gobain, atteint en juin dernier par le rançongiciel NotPetya, explique ainsi que l'attaque lui a coûté pas moins de 80 millions d'euros de résultat. Depuis, le groupe a pris des mesures impor- tantes. Intervenu en plénière, Claude Imauven, Directeur général exécutif chargé de la digitalisation du groupe spécialisé dans la production, la transformation et la distribution de matériaux, raconte notamment : « Dans une optique de sensibilisation, nous avons réalisé des campagnes de faux phishing, afin de vérifier que le poisson est toujours dans le filet. » En clair, cela permet de sensi- biliser les salariés au risque de pièce-jointe infectée, pour affûter leur esprit critique et, in fine, augmenter la résilience globale de l'entreprise. Plus globalement, les entreprises françaises ont encore du pain sur la planche : seuls 38 % des professionnels sondés lors de l'atelier se disent « prêts à parer les ransonwares » tandis que 42 % « y travaillent » encore. De fait, 70 % des entreprises n'ont pas encore mené de test d'attaque ransomware. ARGENT - VOL DE DONNÉES PERSONNELLES Le vol de données arrive au deuxième rang des préoc- cupations des Risk Managers. En cause ? La mise en oeuvre du règlement européen sur la protection des données (RGPD) le 25 mai prochain : fixant le devoir de protéger les données des clients mais aussi des salariés et des prestataires, ce règlement met l'entreprise dans une situation de responsabilité. Et tout manquement sera sanctionné fortement, avec une amende pouvant atteindre 4 % du chiffre d'affaires consolidé du groupe. « Or, la France est numéro 2 dans le monde en matière de données volées » alerte lors de l'atelier Alexis Nardone, expert associé, Manager risques IT chez GM Consultant. « Il est probable que la focale sur les ransonwares change très rapidement et se fixe sur le vol de données, coûteux en termes de sanction mais aussi sur le plan de l'image ». Sur le sujet, la sensibilisation est clef. « Souvent, les collaborateurs réalisent l'ampleur de la menace quand nous leur faisons une simulation sur un poste similaire à leur ordinateur de travail. Cela devient concret », indi- quait Kevin Heydon, Directeur de la sécurité de l'infor- mation du groupe français de cosmétique L'Occitane. La communication va aussi devenir cruciale : chaque vol devra devra faire l'objet d'une communication de crise efficace, pour éviter tout chahut en Bourse. BRONZE - DATA-CENTER HORS-SERVICE Ce scénario relèveplus de la loi deMurphy –avec des diffi- cultés en cascade – que de la malveillance. Pour autant, son occurrence et ses conséquences probables en font un risque sérieux. Par exemple, en 2017, une entreprise a vu son premier data center tomber en rade suite à l'échec d'une mise à jour. L'équipement de secours qui devait prendre le relais a alors subi une panne de matériel. La pièce à remplacer était disponible à 200 kilomètres du data center de secours… mais à plusieurs heures de voiture à cause d'inondations sur les routes. Le risque de panne d'opérateur téléphonique, reliant le data center à l'extérieur, peut également vite se concrétiser en déni de service sur les sites internet marchands, mais aussi les systèmes de production connectés. « Le risque cyber n’est plus un risque technique, il est devenu un risque d’entreprise et il doit être gouverné comme les autres risques d’entreprise » a rappelé Brigitte Bouquot, Présidente de l'AMRAE, en ouverture des Rencontres AMRAE 2018. Rien de surprenant à ce que le cyber soit le thème de l’un des ateliers les plus courus à Marseille. Selon le dernier Baromètre 2018 du Clusif 1 , les cyber-attaques ont augmenté de 48% cette année et 92% des entreprises ont été attaquées « une ou plusieurs fois ». Retour sur le podium des cyber risques les plus classiques présentés à Marseille. Kevin Heydon, Directeur de la sécurité de l'information du groupe français de cosmétique L'Occitane Alexis Nardone, Expert associé, manager risques IT chez GM Consultant Claude Imauven, Directeur Général Exécutif de Saint-Gobain, qui a perdu 80 millions d'euros de résultat dans l'attaque NotPetya en juin 2017.

RkJQdWJsaXNoZXIy MTkzNjg=