ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 27 DOSSIER - LE GUIDE AMRAE – ANSSI PIERRE-YVES HENTZEN, PRÉSIDENT DE STORMSHIELD : «LA CYBERSÉCURITÉ PEUT ÊTRE UN AVANTAGE COMPÉTITIF». «Les 15 étapes duGuideANSSI-AMRAE sont claires et permettent de placer l’entreprise dans son environnement, non seulement réglementaire, mais aussi dans son cadre compétitif. De fait, l’AMRAE est très légitime pour une prise de parole sur le sujet du Cyber, en particulier par l’apport des cartographies des types d’événements et leur impact, mais aussi à travers le volet assurantiel, avec des conseils utiles pour se couvrir. De nombreuses entreprises ne savent pas aujourd’hui contre quoi elles sont assurées : c’est au moment de l’incident qu’elles découvrent qu’elles n’étaient pas couvertes alors qu’elles pensaient l’être. J’ai aussi apprécié la notion de «cyber business partner» : il faut arrêter les discours anxiogènes et comprendre que la cybersécurité peut être un avantage compétitif. En revanche, en tant qu’expert du sujet, j’ai trouvé que leGuide passait un peu vite sur les outils de protection! De manière générale, on est encore très loin, en France, de la «cybersecurity by design». Les produits de cybersécurité eux- mêmes présentent parfois des vulnérabilités soit volontaires, avec la découverte de ‘backdoors’, soit involontaires et liées à des failles de développement. La notion de confiance est pourtant essentielle. L’ANSSI y œuvre, notamment à travers les «certifications et qualifications», également abordées dans le Guide. Si les très grandes entreprises et les infrastructures critiques présentent aujourd’hui un certain niveau de maturité, les patrons de PME pensent encore souvent, à tort, n’intéresser personne et sous-estiment leur exposition au cyber-risque. À l’approche du mois de décembre, tout le monde doit redoubler d’attention : entre les offres du black-Friday, du cyber-Monday, les promotions de Noël et les envois de vœux, nous allons tous recevoir de nombreux emails comprenant des pièces jointes et des liens, dont certains seront piégés». FOCUS CHARLES DE TOIRAC, AVEC BERTRAND LEMAIRE, RÉDACTEUR EN CHEF DE CIO-ONLINE En octobre dernier, ils avaient ensemble fait le déplacement aux Assises de la Sécurité Informatique pour écouter et rencontrer. Ce 19 novembre, ils prenaient la parole devant un public de professionnels des systèmes d’information réunis par CIO-Online. Olivier Menard, directeur des systèmes d’information de la Compagnie des Alpes et Fabrice Morgaut, son Directeur des Risques et Assurances et président de la commission « Intelligence Economique, Crise et PCA» de l’AMRAE ont brossé le portrait de leur coopération. Cartographier le risque IT «Nous avons différents sites avec des responsables informatiques locaux qui ne sont pas rattachés hiérarchiquement à la DSI groupe mais seulement fonctionnellement » a précisé Olivier Mesnard. Le SI associe des logiciels ordinaires de gestion, des applicatifs dédiés à gérer l’accueil du public (billetterie...) et aussi une informatique industrielle (attractions, remontés mécaniques...), parfois avec des difficultés liées à la situation géographique excentrée de la plupart des sites, donc avec des capacités télécoms limitées. Chaque partie du SI, sur chaque site, a ses propres risques. Certaines briques comme Office365 et l’Active Directory sont cependant gérés centralement, ce qui facilite l’adoption d’une politique de sécurité centrale. Fabrice Morgaut a dressé une cartographie des risques (qualification, quantification des impacts...) et l’IT est aux premières loges des principaux risques affectant l’entreprise, avec les cyber-attaques et les défaillances SI. Chacun comprend les conséquences causées par un arrêt d’une billetterie par exemple. Des périodes sont particulièrement propices à des risques importants car ce sont des périodes de très fortes activités (Halloween, Noël...) où un arrêt d’exploitation serait d’autant plus impactant. À risque local ou global, PCA local ou global La répartition des sites et des SI facilite cependant la répartition des risques, malgré des risques globaux comme le site web. Une fois identifiés, la DSI décline avec les responsables informatiques locaux la politique IT nationale et valide les PCA. «Une bonne collaboration entre le gestionnaire de risques et le DSI aide le Comité Exécutif à prendre les bonnes décisions » a insisté. Cette collaboration permet notamment les arbitrages dans les investissements en matière de sécurité. COMPAGNIE DES ALPES : CA 854 millions € N°1 mondial de l’exploitation de domaines skiables (Val d’Isère, Tignes...) N°4 opérateur européen des parcs de loisirs et loisirs indoor (Parc Astérix, Walibi, Futuroscope, Musée Grévin...) ORGANISER LES CONDITIONS DE LA RÉSILIENCE CYBER : LES TÉMOIGNAGES DE FABRICE MORGAUT ET OLIVIER MÉNARD Fabrice Morgaut, Directeur des Risques et Assurances de Compagnie des Alpes et président de la commission «Intelligence Économique, Crise et PCA» de l’AMRAE