ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 19 DOSSIER - LE GUIDE AMRAE – ANSSI «  La confiance dans le numérique est devenue primordiale, pour le citoyen comme pour l’entreprise. Mais la confiance ne se décrète pas. Elle s’organise. » Brigitte Bouquot, Présidente de l’AMRAE «  Ce guide est donc le fruit d’un travail d’équipe soutenu et passionné de la part de nos collaborateurs respectifs  » Guillaume Poupard, Directeur général de l’ANSSI de nos collaborateurs respectifs» , indique quant à lui Guillaume Poupard, le directeur général de l’ANSSI, dans la préface du document. De fait, il aura fallu plus d’un an de travail aux experts des deux organisations pour s’accorder surlestermes,lesétapesetlesrecommandations de ce vade-mecum de la confiance numérique. «Si nous étions parfaitement en ligne sur la démarche générale, nous avons d’abord rencontré des difficultés de vocabulaire. En effet, nos deux mondes utilisent les mêmes terminologies de gestion et de cartographie des risques... mais pas toujours pour désigner les mêmes choses. Il nous a fallu longuement dialoguer, apprendre à mieux nous connaître et affiner nos discours pour les aligner totalement», indique Philippe Cotelle, la cheville ouvrière pour l’AMRAE du projet. Ensuite, les auteurs ont beaucoup travaillé sur l’articulation logique des deux démarches : celle de gestion des risques classique de l’AMRAE, et la dimension, plus technique, de la maîtrise du risque numérique portée par l’ANSSI. «Nos deux mondes et nosdeux compétences s’entrecroisent de manière pertinente : on voit qu’il y a vraiment une interaction logique entre le riskmanagement stratégique et le risk management technique... », se félicite finalement Philippe Cotelle. QUATRE GRANDS OBJECTIFS Organisé autour de 4 grands objectifs et de quinze étapes concrètes, le document propose une démarche holistique visant à construire une politique de gestion du risque numérique agile et dynamique (Voir Illustration 1) . «Si l’on veut éviter de transmettre une dette de sécurité numérique, il faut absolument construire aujourd’huisonsocle,enfonctiondel’avancement de sa transformation numérique, puis faire LE DEPUTY CIO ET CISO DU GROUPE LAGARDÈRE, THIERRY AUGER : «LES ENTREPRISES ATTENDENT QU’ON LEUR FOURNISSE DES OUTILS SIMPLES» « La sensibilisation au risque cyber demeure aujourd’hui insuffisante. Je suis parfois frappé par le manque de capacités et d’expertises dans certaines entreprises. De nombreuses sociétés deviennent des victimes pour des raisons qui ne devraient plus être : elles méconnaissent le risque, se sont digitalisées rapidement et sans déployer les protections nécessaires ou encore pensent - à tort - que les services mis à leur disposition les protègent... Il est vrai que l’analyse du risque numérique est compliquée. Globalement, tout lemonde souffre de l’absencedeméthodologiesprêtes à l’emploi. Les entreprises attendent qu’on leur fournisse des outils simples. Le Guide ANSSI-AMRAE en est un : il peut permettre à chacun de faire sa mesure de risque, en fonction de son niveau technique et de son avancée de la digitalisation. Dans une PME, il y a quelques fichiers clés qui constituent toute la vie de l’entreprise et doivent être impérativement protégés et dupliqués, mais il faut savoir anticiper et s’organiser avant d’être confronté à une crise cyber. Defait,lesdirigeantsdoiventaujourd’huimettrela protectionet la résilienceau centrede la stratégie de l’entreprise et faire évoluer en permanence la sécurité. En effet, la transformation va à une telle vitesse que les problèmes d’un jour ne sont plus ceux du lendemain. Cela ne va pas s’arranger, car l’accélération digitale ne cesse de s’amplifier. Par exemple, beaucoup se croient protégés contre les ransomware parce qu’ils ont mis en place des outils de sauvegarde automatique. Sauf que le risque a évolué : les sauvegardes peuvent désormais se voir corrompues enmême temps que l’original des données...» Illustration 1 - Démarche progressive de construction d’une politique de gestion du risque numérique