ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 20 DOSSIER - LE GUIDE AMRAE – ANSSI évoluer ce socle par vagues successives. Cela requiert des investissements, mais il s’agit aujourd’hui d’un enjeu stratégique pour les organisations», souligne Brigitte Bouquot. Première marche incontournable : prendre la mesure du risque numérique . «Pour être efficace, une politique demanagement du risque numériquenécessited’être compriseet soutenue par l’ensemble des parties prenantes de l’organisation, à commencer par son dirigeant» , indique le document. «Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprised’unegouvernancedelacybersécurité et mettre toute l’organisation en ordre de marche» , souligne Fabien Caparros, chef de la divisionchargéedesméthodesdemanagement de la sécurité numérique de l’ANSSI et contributeur du livre. De fait, avec la transformation numérique de l’ensemble des acteurs de la société et leur interconnexion croissante, le « cyber risque» ne peut plus être appréhendé comme un risque « IT ». Il est devenu global et stratégique et doit être traité comme tel. Il faut ensuite comprendre le risque numérique de son organisation et s’organiser pour y faire face. Un objectif que le Guide propose d’atteindre en 6 étapes et qui passe notamment par la mise en place d’une gouvernance SOPHIE PARISOT, RESPONSABLE SOUSCRIPTION CYBER ET RESPONSABILITÉ CIVILE PROFESSIONNELLE CHEZ AIG : «FACE À L’ARRIVÉE DE SINISTRES CYBER D’INTENSITÉ, LES ASSUREURS POURRAIENT FAIRE ÉVOLUER LEUR STRATÉGIE» « Les grandes entreprises ont con s a c ré ce s dernières années de réels efforts et des budgets importants au sujet de la cybersécurité. Cette évolution est nette depuis 2012 et surtout depuis deux ans : les conseils d’administration ont pris conscience de l’importance du risque et des potentiels impacts sur l’entreprise comme sur sa réputation. Toutefois, les disparités sont importantes d’un secteur à l’autre : les institutions financières sont clairement plus matures et, à l’opposé, le secteur manufacturier n’avait pas pris la mesure du risque jusqu’à très récemment. Les petites et moyennes entreprises sont beaucoup moins avancées : le risque est désormais connu mais beaucoup de PME n’arrivent pas encore à libérer de budget pour se protéger et investir. Elles ont parfois l’impression que l’assurance Cyber représente un coût très important alors que les assureurs ont développé des solutions à des tarifs avantageux pour leur permettre d’assurer la pérennité de leur activité en cas d’incident. J’espère que le Guide ANSSI- AMRAE permettra de développer de bonnes pratiques, notamment auprès de cette typologie d’entreprises. De notre côté, nous oeuvrons à éduquer les courtiers et leurs clients, en montrant qu’une crise cyber pas préparée peut être très compliquée à gérer... Il faut en particulier former les utilisateurs finaux qui sont la porte d’entrée dans la grande majorité des incidents. Par exemple, certains ne maîtrisent pas les filtres et caches d’Excel et peuvent être à l’origine de fuites de données confidentielles. D’autres cliquent sur des mails envoyés dans le cadre de campagnes de phishing : en ouvrant les pièces jointes instinctivement, ils téléchargent des malwares. S’il est difficile d’avoir un risque zéro, des solutions de sensibilisation et de paramétrage des outils existent pour limiter les impacts. Chaque année, les quatre principales causes de sinistres du rapport annuel de sinistralité d’AIG sont identiques. Ainsi, près d’un quart des incidents déclarés en 2018 étaient liés à des e-mails d’imposteurs, entraînant une compromission de la messagerie de l’entreprise (en croissance de 11% par rapport à l’année 2017). Les autres principales causes de sinistres sont les rançongiciels (18% des déclarations de sinistres cyber reçues par AIG en 2018), les violations de données commises par des pirates informatiques (14%) et les violations de données imputables à des négligences du personnel (14%). 2019 va suivre la même tendance, en pire! De fait, les assureurs constatent de plus en plus de sinistres et commencent à enregistrer des sinistres d’intensité, c’est à dire des sinistres atteignant le plein de garantie, en plus des sinistres de fréquence. Cette réalité du risque pourrait conduire les assureurs à faire évoluer leur stratégie dans le domaine cyber, alors même que nous sommes en train de clarifier toutes nos polices sur les couvertures cyber «silencieuses» qui pourraient exister, aujourd’hui, dans certains contrats ResponsabilitéCivile ou Dommages». «  Nos deux mondes et nos deux compétences s’intercroisent de manière pertinente : on voit qu’il y a vraiment une interaction logique entre le risk management stratégique et le risk management technique... » Philippe Cotelle, administrateur de l’AMRAE, auteur pour l’Association de l’ouvrage Expertise sinistresAIG SinistresCyber : leRGPDet lepiratage via les messageriesd'entreprises favorisent lamontéeen puissancedesattaquesCyber