1 21 Table of Contents 23 76

ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 22 DOSSIER - LE GUIDE AMRAE – ANSSI un premier temps, n’avaient pas été identifiés comme critiques » , souligne le document. Même si cela peut être difficile - notamment lorsqu’il s’agit d’estimer l’impact d’une perte de confiance ou d’une atteinte à l’image -, il est important de tenter de chiffrer les impacts financiers de ces scénarios. Cette estimation permettra en effet aux dirigeants de définir leur stratégie de sécurité numérique, compte tenu également de leur appétence au risque. C’est à cette aune qu’il faudra en effet juger les différentes mesures — techniques, humaines ou organisationnelles  — de mitigation du risque. La réflexion doit être menée à long terme à travers un « plan d’amélioration continue de la sécurité» (PACS), dont le Guide livre un exemple (Voir Illustration 2) . La mise en place de polices d’assurance adaptées Illustration 2 - Plan d’amélioration continue de la Sécurité (PACS) PIERRE BESSÉ, PRÉSIDENT DIRECTEUR GÉNÉRAL DE LA SOCIÉTÉ DE CONSEIL EN ASSURANCES BESSÉ : « IL FAUT PARTIR EN CROISADE SUR LE RISQUE CYBER». «Une étude que nous avons récemment réalisée avec l’Ifop montre que les dirigeants d’ETI sous-dimensionnent encore la portée stratégique et les moyens à déployer pour faire face efficacement au risque cyber. Ils se jugent peu menacés, estimant en moyenne à 5,8 sur 10 le risque de cybermenace pour leur entreprise. Certes, pour réussir, un dirigeant d’ETI ne doit avoir peur de rien, mais il ne doit pas croire qu’il n’y a pas de risque... Toutes les entreprises sont aujourd’hui concernées parce que c’est avant tout le cloud qui est attaqué. Quand on voit que seuls 3 % des dirigeants d’ETI envisagent d’embaucher cette année un profil dédié à la gestion de la cybersécurité et que, beaucoup s’estiment assurés, alors qu’en réalité ils ne le sont pas, on peut s’inquiéter. D’autant que nous ne sommes pas encore au pic des événements : nous avons toutes les raisons de redouter un «11 septembre du cyber ». Nous devons véritablement partir en croisade et tous nous mobiliser pour sensibiliser les dirigeants sur le sujet du risque cyber. Mais il ne s’agit pas de faire peur : cela ne fonctionne pas. La prise de conscience doit passer par la compréhension. Seul un dirigeant qui comprend peut prendre les bonnes décisions. Et, contrairement à ce que beaucoup croient encore, la première réponse n’est pas technologique. Le cyber est une question de management et de gouvernance. Les métiers IT sont concernés, mais aussi la DRH, le contrôle des risques, etc. : toutes les fonctions centrales de l’entreprise et donc, au premier chef, son dirigeant». ENQUÊTE IFOPPOURBESSÉ #NOVEMBRE 2019 LES DIRIGEANTS D’ETI FACE À LA MENACE CYBER POINT DE SITUATION

RkJQdWJsaXNoZXIy NjQyNDQw