1 36 Table of Contents 38 92

AMRAE - ATOUT RISK MANAGER

DOSSIER RENCONTRES AMRAE 2018 : L’INTELLIGENCE DES RISQUES POUR FRANCHIR DE NOUVEAUX CAPS ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°16 I PRINTEMPS 2018 37 INTERVIEW Les attaques majeures de 2017 ont-elles permis une prise de conscience des entreprises sur l'importance du cyber risque ? La violence des attaques mais aussi la bonne communication des entreprises touchées ont mené à une prise de conscience au plus haut niveau. Les grosses attaques préexistaient ; elles étaient déjà menées par des groupes très structurés. Mais, là, ce qui a touché Saint-Gobain est d'un autre ordre : l'entreprise n'était pas visée et a été une victime collatérale, du fait de son implantation en Ukraine. Cet aspect inat- tendu démontre que « cela n'arrive pas qu'aux autres ». Les RiskManagers sont-ils pour vous des interlocuteurs privilégiés ? Tout à fait. Historiquement, nous travaillions avec les RSSI qui se plai- gnaient de ne pas être entendus en interne. Puis, progressivement, les DSI ont cessé de nous voir comme un centre de coûts, de risques et de délais. Ils sont devenus nos alliés. Cette tendance se propage au sein de la Gouvernance : auprès du Directeur juridique, puis du Directeur administratif et financier jusqu'au PDG. Pour autant, la culture du cyber risque doit encore se diffuser à tous les échelons des entreprises. C'est dans ce cadre que nous avons besoin des Risk Managers. Ils seront aussi des interlocuteurs privilégiés pour accompagner la transforma- tion dans le cadre de la directive Network and Information Security (NIS). L'ANSSI sera ainsi aux côtés de nouvelles entreprises, en plus des opérateurs d'importance vitale (OIV), qui ont des sites physiques très sensibles littéralement entourés de barbelés. Nous élargissons notre exigence aux opérateurs de services essentiels (OSE), qui sont indispensables au bon fonctionnement de notre économie. A quoi les entreprises doivent-elles s'attendre en la matière ? La liste des secteurs sera connue en novembre 2018, sous la forme d'un décret. D'ores et déjà, il y a des secteurs qui sont évidents, comme la logistique et la grande distribution. Chacun sent bien que, s'ils sont dans l'incapacité de faire leur travail, la sécurité nationale sera mise en jeu. Nous nous posons également la ques- tion de Pôle Emploi. Si nous nous fions à notre relation avec les OIV, le début de la relation est « rugueuse ». Mais c'est normal. Au début, nous arrivons, nous imposons des dispositifs qui ont un coût. Mais très vite, l'entreprise comprend que nous sommes là pour aider à monter en gamme et à investir sur la sécurité. Quel sera l'effort financier nécessaire ? Un de mes indicateurs de maturité est quand les entreprises dépensent 5 à 10 % de leur budget IT en sécurité. Bien sûr, cette dépense doit être bien pensée pour être efficace. Il est déjà arrivé que des dirigeants s'équipent à cette hauteur et se fasse pirater car l'investissement n'a pas été suffisamment réfléchi. C'est là aussi que le Risk Manager doit intervenir : pour avoir une véritable stratégie de gestion de ce risque. Il doit intervenir de manière à ce que les efforts sur le cyber n'exposent pas à d'autres risques, en gardant une vision d'ensemble. Le Directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) Guillaume Poupard l’affirmait en session plénière à Marseille : « Nous avons besoin des Risk Managers pour diffuser la culture du cyber risque à tous les échelons des entreprises. » Aux dernières Rencontres AMRAE 2018, Guillaume Poupard, qui a encouragé les Risk Managers à poursuivre leur évangélisation dans l'objectif de rendre les sociétés plus rési- lientes face aux nombreuses tentatives de cyber attaques, a ensuite accordé une longue interview à Atout Risk Manager .

RkJQdWJsaXNoZXIy MTkzNjg=