1 23 Table of Contents 25 76

ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 24 DOSSIER - LE GUIDE AMRAE – ANSSI comme le montre sa représentation en forme de roue (Illustration 1) » , souligne Philippe Cotelle. La démarche permet, finalement, de sortir d’une approche négative du risque numérique, pour aller vers celle, positive, de la confiance numérique. «En valorisant ses investissements et en adoptant une approche «Cyber business partner» , l’organisation peut développer un avantage concurrentiel, aborder de nouveaux marchés, générer de la croissance et faire évoluer positivement et stratégiquement son image», affirme l’étape 15. De fait, les agences de notation, mais aussi les clients, les régulateurs et les investisseurs sont de plus en plus attentifs à la capacité de chaque organisation à gérer son risque numérique : dans un proche avenir, il sera clairement nécessaire de montrer patte blanche et d’apporter des garanties sur sa sécurité numérique. Alors autant, prendre un peu d’avance... Illustration 3 - Exemples d’indicateurs de performance STÉPHANE LENCO, CHIEF INFORMATION SECURITY OFFICER DE THALES GROUP : «ON NE PEUT PLUS PENSER EN TERMES DE «FRONTIÈRES» : IL FAUT UNE APPROCHE RISQUE». «LesResponsablesdela Sécurité des Systèmes d’Information (RSSI) ne peuvent plus être des garde-barrières à l’entrée de la citadelle de l’entreprise. Lemodèle du «mur» ou de la «forteresse» n’est tenable face à un risque numérique en perpétuelle transformation. Il faut s’adapter à des entreprises explosées, avec des portes d’entrée multiples et ouvertes de toutes parts via la supply chain... Cela implique de penser non pas en termes de «frontières» mais de gestion des risques. Comme un pays qui ne peut espérer construire unmur hermétique pour se protéger, l’entreprise doit comprendre d’où vient la menace, analyser ses grands axes de trafic et ses domaines de fragilité. Il faut travailler sur les zones les plus risquées, les autres risques identifiés pouvant être couverts ou assumés s’ils sont peu probables. Sans oublier qu’outre le poste de douane, il y a aussi la douane volante : les structures de gouvernance de l’entreprise et les «lignes dedéfense» (contrôleet audit interne, etc.) sont des zonesdecontrôle supplémentaires, qui permettent aussi de vérifier la pertinence et de compléter l’analyse des risques. Dans les PME et les ETI, le risque commence à être connu mais la réalité matérielle ne semble pas encore perçue. C’est un peu comme les enfants et les plaques de cuisson : on a beau répéter que ça brûle, les enfants ont du mal à percevoir la réalité du message tant qu’ils n’en ont pas fait l’expérience... Seules les PME et les ETI qui ont vécu une crise cyber semblent prendre véritablement la mesure du sujet.»

RkJQdWJsaXNoZXIy NjQyNDQw