1 24 Table of Contents 26 76

ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 25 DOSSIER - LE GUIDE AMRAE – ANSSI BERTRAND TRASTOUR, RESPONSABLE DES VENTES B2B POUR LA FRANCE ET L’AFRIQUE DU NORD CHEZ KASPERSKY LAB : «LES PME SONT SOUVENT LE MAILLON FAIBLE POUR PÉNÉTRER DANS LES GRANDS GROUPES» « Nous avons vu récemment, à travers de nombreux incidents et notamment l’attaque du CHU de Rouen, à quel point lamenaceest présente. Tout lemonde est susceptible d’être touché, que ce soit par des attaques massives de type «cryptolockers», ou pardes tentativesd’intrusionsplus ciblées, suivies de dommages sur le système d’information de l’entreprise. Dans le climat géostratégique actuel, il ne faut pas non plus négliger les risques d’espionnage économique et industriel. Je n’évoque pas là un roman policier, mais la réalité d’aujourd’hui. Y compris pour les PME car les petites et moyennes entreprises françaises sont très innovantes, elles sont visibles sur certains marchés et donc susceptibles de voir leur propriété intellectuelle pillée. Le risque est d’autant plus grand pour ces entreprises que les attaquants essaient aujourd’hui de trouver les maillons faibles. Plutôt que d’attaquer un grand compte ou une ETI – globalement mieux protégés -, ils tentent de passer par leurs fournisseurs, clients ou partenaires économiques... Ainsi, les PME sous-traitantes de groupes industriels peuvent constituer le talon d’Achille qui permettra de pénétrer dans un grand groupe. Tout le tissu économique français doit être conscient que la menace est là - pour longtemps - et s’organiser pour s’en prémunir. Des documents comme ce Guide ANSSI-AMRAE permettent de comprendre et de piloter le risque, en proposant des bonnes pratiques. Chaque dirigeant doit ensuite les décliner dans le cadre de son entreprise. Le seuil d’acceptabilité du risque dépend évidemment de chaque activité : dans certains métiers, la santé mais aussi l’agroalimentaire, des vies humaines peuvent être en jeu...» JEAN BAYON DE LA TOUR, RESPONSABLE DU CYBER POUR L’EUROPE CONTINENTALE CHEZ MARSH : «ON N’A PAS ENCORE TROUVÉ LE SPRINKLER DU CYBER». « La sensibilisation au risque cyber a véritablement progressé ces dernières années, mais les actions nécessaires ne sont pas encore prises, a fortiori dans les plus petites structures. Les PME n’ont pas l’expertise pour analyser la complexité de l’offre de cybersécurité pléthorique du marché. Les dirigeants sont perdus et finissent par ne rien prendre... Le défi est donc aujourd’hui de parvenir à apporter des réponses et des offres simples, accessibles à tous, y compris aux PME et TPE. Une étude (1) que nous avons réalisée avec Microsoft en février-mars dernier au niveaumondial auprès de plus de 1 500 dirigeants d’entreprises de toutes tailles montre ainsi que 79 %d’entre eux placent désormais le Cyber dans le Top 5 des risques mais seulement 11  % sont confiants dans leur capacité à le gérer. Il y a pourtant urgence car on sent une véritable montée de la pression sur le sujet du cyber. Les fonds de private equity, les investisseurs, le marché, les régulateurs, etc. tous attendent des entreprises une vision transverse, holistique et complète sur ce risque. Malheureusement, à ce jour, il n’y a pas véritablement de norme : on n’a pas encore trouvé le «sprinkler» du cyber, c’est à dire un élément simple permettant d’analyser et d’être rassuré sur la préparation de l’entreprise face à la menace. Aujourd’hui, il faut donc raisonner en complémentarité et tenir compte, d’un côté, des mesures de sécurité prises par l’entreprise et, de l’autre, de l’éventuellemise en place de couvertures assurantielles permettant de faire face à l’intensité du risque. Les cybercriminels sont plus forts que nous, car ils sont toujours en avance. Mais nous pouvons les battre parce que nous sommes plus nombreux. C’est en travaillant tous ensemble à notre résilience que nous gagnerons la guerre contre les hackers. À ce titre, la collaboration ANSSI-AMRAE est un excellent signal. Tout le monde redoute aujourd’hui une attaque majeure : l’armageddon qui mettrait à plat tous les systèmes et pourrait mettreàmallesassureurs... La réponse ne peut être que coordonnée : l’écosystème français et même européen doit se tenir prêt à réagir». SUMMARYVERSION SEPTEMBER 2019 2019 GLOBAL CYBER RISK PERCEPTION SURVEY (1) – Etude Marsh-Microsoft, «2019 Global cyber risk perception survey».

RkJQdWJsaXNoZXIy NjQyNDQw