1 81 Table of Contents 83 92

AMRAE - ATOUT RISK MANAGER

VEILLE ET POSITION se doivent de coopérer à leur protection ». En 1960, la France est devenue le premier pays à inclure dans sa loi de programmation mili- taire des règles pour garantir la sécurité phy- sique des installations d’importance vitale et, depuis 2008, leur sécurité numérique. C’est ainsi qu’est créée l’ANSSI en 2009, jusqu’à l’ajout en 2013 d’un volet cybersécu- rité dans la loi de programmation militaire. DES MESURES INDISPENSABLES Les OIV, ce sont 230 entreprises dont la liste est gardée secret-défense. Elles ont un devoir de protection et de maintien de leurs systèmes d’information, ainsi qu’un devoir d’informa- tion de l’ANSSI en cas d’incident. Cette der- nière doit les accompagner et les contrôler. Renforcer leur continuité, en investissant et en gérant les risques, c’est aussi maintenir leur compétitivité et leurs emplois et, par la diffu- sion de ces bonnes pratiques, ceux de leurs clients et de leurs fournisseurs. L’Europe s’est inspirée de ce modèle pour concevoir la directive NIS. Celle-ci a deux vertus. Les entreprises qui se- ront désignées OSE pourront se prévaloir de mesures de cybersécurité étendues dans leur dialogue avec leurs partenaires – clients, four- nisseurs et pouvoirs publics. Elles auront éga- lement la responsabilité d’identifier dans leur propre chaîne de valeur les interfaces de ser- vices essentiels avec leurs sous-traitants. Les exigences de cybersécurité leur seront alors automatiquement répercutées. Puis, par capillarité, elles le seront dans l’en- semble du tissu économique français, majori- tairement constitué de PME et d’ETI. Ces mesures indispensables suffiront-elles à protéger toutes les entreprises et leurs em- plois ? Les OSE pourront-ils entraîner un mou- vement général de sécurisation des systèmes métiers en pleine numérisation ? Même si la directive prévoit d’inclure des fournisseurs de service numérique comme les plates-formes de vente en ligne, le flou sub- siste, tant elles sont nombreuses. La sécurité numérique de 2 000 entreprises ne constitue pas celle de l’ensemble du tissu éco- nomique français. Il nous faut passer de la résilience numérique de quelques-uns à celle de tous. C’est pour notre profession de «Risk Manager» une opportunité formidable de pouvoir ados- ser à ces nouveaux standards de cybersécurité les mesures de gouvernance du management des risques cyber ainsi que les couvertures adaptées d’assurance. Il faut remercier les entreprises qui té- moignent aujourd’hui sur les conséquences des attaques dont elles ont été victimes et les enseignements qu’elles en ont tirés en matière d’organisation, de prévention et d’assurance. À chaque fois, le dirigeant est au coeur de cette cybergouvernance. Etre en mesure d’exposer à ses parties prenantes une solide politique de gestion des risques, avec son volet cyber, de- vient aujourd’hui un facteur différenciant. Tous les acteurs savent que, malgré les protec- tions, des attaques réussiront et que les impacts financiers seront significatifs et systémiques, c’est pourquoi il faut améliorer la maturité de l’assurance cyber, avec une gestion des risques par filière professionnelle. Dans cette organisa- tion de l’intelligence collective qui est la nôtre, seuls des standards de gestion des risques conçus par les entreprises, industrie par indus- trie, en y associant leur chaine d’approvision- nement, feront émerger des schémas viables de transfert du risque, qui permettront aux assu- reurs d’indemniser en cas de sinistrée ainsi de construire un marché. Ne soyons pas naïfs, dans cet espace «gris» du monde numérique, les attaques proviennent parfois de puissances étrangères : c’est pour- quoi il n’y a pas de résilience de l’État sans rési- lience des entreprises. À l’heure où les indicateurs économiques re- trouvent des couleurs, nous avons les moyens de ne pas laisser gonfler une «dette» de sécu- rité qui risquerait de saper les fondements de cette renaissance. Car si la gestion des risques protège des menaces et des vulnérabilités, elle permet également de l’audace en éclairant les décisions pour aller de l’avant. «Nous avons les moyens de ne pas laisser gonfler une “dette” de sécurité. » Brigitte Bouquot, Présidente de l’AMRAE ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°16 I PRINTEMPS 2018 82

RkJQdWJsaXNoZXIy MTkzNjg=