ATOUT RISK MANAGER N°21

ATOUT RISK MANAGER N°21 I ÉTÉ 2019 7 PORTRAIT RENDRE LA SÉCURITÉ NUMÉRIQUE «SEXY» Lever les tabous, adresser la question du risque cyber sous toutes ses coutures, surtout sous l’angle business et non pas seulement technique, est le mantra de ce golfeur, ex-rugbyman et kite- surfeur. Une culture qu’il s’est forgée depuis 2012, l’année de sa nomination au poste qu’il occupe toujours aujourd’hui. Cette vision, Philippe Cotelle la partage au nom de l’AMRAE et avec l’Agence nationale de sécurité des systèmes informatiques (ANSSI) qui veut rendre facile la sécurité numérique ; c’est-à-dire communicante et compréhensible. Au terme d’une co-rédaction longuement murie, les deux organisations signeront en novembre prochain un guide destiné aux dirigeants d’entreprises pour mettre en œuvre un management efficace du risque numérique. Combinant l’approche technique de l’ANSSI et la gestion des risques de l’AMRAE, il cible les grandes organisations de type SBF120mais aussi les PME qui ne sont pas épargnées par le fléau des cyber attaques et se trouvent être souvent les sous-traitants de grandes entreprises. La ported’entréedes hackers. «Dans l’aéronautique, et notamment pour l’activité spatiale, la maturité dans la gestion des risques des sous-traitants est primordiale pour prévenir les dommages traditionnels et le risque d’attaques numériques» , décrit PhilippeCotelle. «Airbus est une entreprise étendue, nous avons un intérêt vital à cyber sécuriser nos sous-traitants, cela a un coût, mais ce sont les maillons faibles de la chaîne» , assure- t-il, sans préciser les investissements concédés par le groupe pour la cyber défense. UN RISQUE BUSINESS AVANT TOUT Philippe Cotelle est un cyber actif. Outre son activité interne très dense, il consacre un temps tout aussi dense à prêcher la cause de la gouvernance de ce risque spécifique, « le futur Pearl Harbour numérique», comme le prédit le patronde l’ANSSI. Il prêche en interne, à l’AMRAE où il préside la commission sur les systèmes d’information, à Bruxelles chez FERMA (la fédération européenne des associations de Risk Management), à l’OCDE... Très vite, lorsqu’il a pris son poste en 2012 (il est rattaché à la Trésorerie, lire l’interview de Thierry Justice ci-contre), il a jugé qu’il fallait sortir le sujet de sa dimension technique pour en faire un risque d’entreprise : opérationnel, commercial et financier. «Bien sûr, on ne peut parler de risque cyber sans parler technique, sinon, on serait aux fraises. Mais, on ne peut pas zapper la dimension business d’une cyber attaque» , martèle-t-il. Dès son arrivée dans la branche Spatiale, Défense et aviation militaire du géant aéronautique européen en 2012, il interroge le directeur des systèmes informatiques sur les cyber attaques subies, et leurs impacts. « J’ai eu droit à une longue description des conséquences techniques (le nombre d’ordinateurs rebootés etc.) mais rien, sur les conséquences financières » , relate-t-il. Il décide de lancer deux expériences, l’une sur le site des Mureaux (Yvelines) où sont co-développées avec Safran les fusées Ariane 5, l’autre à Stevenage (Angleterre) où sont fabriqués les satellites de télécommunications. Objectif : quantifier le risque financier d’une attaque cyber. Il réunit les directeurs industrie, commercial, sécurité, juridique de chacun des sites de production pour mesurer les vulnérabilités au risque cyber, et les quantifier. Étonnement général, aucun d’eux n’avaient jamais travaillé ensemble. Disruptif avant l’heure. « Une fois bâtis des scénarios crédibles, j’ai demandé la probabilité qu’un risque cyber ait un impact sur les résultats d’exploitation du site. Des deux côtés de la Manche, les résultats sont aux antipodes : “Très faible probabilité “, répondent lesMureaux, “Assez forteprobabilité”, répondent « On ne peut parler de risque cyber sans parler technique, sinon, on serait aux fraises. Mais, on ne peut pas zapper la dimension business d’une cyber attaque. »