1 56 Table of Contents 58 76

ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 57 ACTUALITÉ DE L’AMRAE - EN LÉGER DIFFÉRÉ E n introduction, Thierry Delville, associé PwC, ancien délégué aux industries de sécurité au ministère de l’Intérieur, rappela que 91% des dirigeants considèrent que le risque numérique altère la confiance et que la préparation à la crise est déterminante. Brigitte Bouquot, la présidente de l’AMRAE, tout en annonçant la toute proche publication du guide AMRAE/ANSSI, ne mâcha pas ses mots. «Le bon niveau de profit est celui qui permet à l’entreprise de mener une politique de risk Management pour être résiliente. Quand on prend une décision d’investissement, il faut également prendre celle de la sécurisation afférente, surtout en cyber. » Guy-Philippe Goldstein, strategic advisor d’Expon Capital, complétait. Si l’on raisonne en termes d’impact, le réputationnel est majeur. «Au bout de 12mois, on a dans 40%des cas une baisse de 20% du cours de bourse après une attaque cyber connue et annoncée…Dans 23% des cas on a un rebond. Quand on dresse le parallèle avec une étude effectuée en 2000 par des chercheurs d’Oxford sur le risque réputationnel, les entreprises avec la bonne attitude de réponse voyaient baisser de 15% leur cours de bourse quand celles qui adoptaient la bonne communication le voyaient croitre de +7%» . Au-delà des aspects techniques, on se bat pour rétablir la crédibilité de l’entreprise souligna-t-il. Jacques Martinon, magistrat à la Direction des affaires criminelles et des grâces au ministère de la Justice rappela en substance que la double peine est vite arrivée. L’entreprise doit toujours être maîtresse de ses données et le RGPD peut être impitoyable si elles fuient. «Il ne faut jamais oublier de notifier l’incident de cybersécurité à la Cnil» . Depuis son entrée en vigueur, la CNIL a reçu 2700 de notifications (données de septembre 2019). Quant à Jean-Philippe Pagès, membre du comité de direction du courtier Bessé, il évoqua une étude effectuée avec PwC en mars 2018 auprès de 500 ETI : 79 % des dirigeants déclaraient avoir été victimes d’un incident cyber, 39% se disaient capable de réagir quand 19%avouaient n’avoir rien faitmalgré l’incident. La conscience de la dimension systémique du risque cyber et de sa nécessaire gouvernance a encore du chemin à accomplir dans ce tissu d’entreprises. Mais gageons qu’avec cette intervention, cette conscience grandit dans l’esprit des administrateurs présents à cette journée. n Le risque cyber, enjeu de gouvernance : l’Institut Français des Administrateurs lui avait consacré la seconde table ronde de sa journée annuelle des administrateurs, le 16 octobre dernier. Par Charles de Toirac LASUPERVISIONDE LAGESTION DURISQUE CYBER : UNENJEU DEGOUVERNANCE De gauche à droite : Thierry Delville ; Guy-Philippe Goldstein, Brigitte Bouquot, Jacques Martinon, Jean-Philippe Pages

RkJQdWJsaXNoZXIy NjQyNDQw