1 58 Table of Contents 60 76

ATOUT RISK MANAGER N°27

ATOUT RISK MANAGER N°27 I HIVER 2020 59 Actualité de l’AMRAE - Assises de la cybersécurité 2020 pas les compétences techniques pour analyser en profondeur les réseaux des entreprises. Les primes encaissées ne leur permettent pas de rémunérer ces experts. A trouver donc dans les travées des Assises. Ancien de l’ANSSI, Maxime Cartan a montré que l’on peut compléter l’absence d’historique par la connaissance des attaques et attaquants en analysant leur ciblage géographique et sectoriel privilégiés et la façon dont sont conduites les attaques. «À partir de là, on filtre les menaces (intensité) les fréquences d’attaque et l’on peut remonter au RSSI les mesures de défense et au Risk Manager les impacts financiers. On peut donner des éléments pour l’assureur.» Encore et toujours casser les silos Pour Oliver Wild, c’est le fondamental et l’indispensable. «La crise a montré qu’il faut aller encore plus loin en profondeur sur cette question pour renforcer sa maîtrise des risques» . Toujours pédagogue, Luc Vignancour expliquait que «pour un assureur, gérer le risque cyber, c’est montrer aux autorités de contrôle qu’il pourra payer.Identifier ses risques cyber dans tous ses contrats (les fameux risques silencieux) et les nettoyer l’occupent beaucoup. Évoquant la nouvelle dimension des rançongiciels devenus «une véritable industrieoù les attaquants connaissaient votre capacité à payer (30 à 50M€). Chantage à l’extraction de données ou au blocage de données : les frais de remédiation ont grimpé. Peut-on faire confiance au marché de l’assurance cyber? Interpella la journaliste Cécile Desjardins. O ui, répondirent les intervenants si… tous s’organisent différemment et mieux. Les solutions ne peuvent provenir que d’un système intégré où tout l’écosystème travaille ensemble dans un dispositif de gestion de risque, parce qu’individuellement, les failles et carences sont réelles. En phase de souscription, des progrès sont à effectuer : pour Maxime Cartan « les questionnaires d’assurance sont très légers.» Ce que confirme Luc Vignancour «un assureur n’est pas un pro de l’IT. Les primes sont trop faibles pour financer les experts.» Pour Maxime Cartan, il faut changer de temporalité, au regard de l’évolutivité des menaces et adapter fréquemment les polices ou les doter d’éléments paramétriques. Oliver Wild, coiffant sa casquette de directeur des risques et assurances de Veolia souligna que toute présentation du risque cyber de Veolia aux assureurs s’effectuait systématiquement accompagnée par le directeur de la sécurité IT. Par ailleurs notait-il, savoir parler et présenter risques cyber et solutions de remédiation et financement aux organes de direction pour obtenir les financements adéquats était aujourd’hui discriminant. Quant à Luc Vignancour, la réponse de l’industrie de l’assurance ne pourra venir comme c’est le cas actuellement d’une juxtaposition de polices pour unmême client, mais d’une offre intégrée, portée par un chef de file. En tout cas, assura (!) t-il «une entreprise qui gère ses risques aura un assureur, mais s’assurer n’est pas une décharge de responsabilité.» En bref « Il faut casser les silos de l’entreprise. La Covid‑19 nous a montré que nous devons aller plus loin avec les partenaires» a martelé Oliver Wild à l’instar des travaux de l’AMRAE sous l’égide de la direction générale du Trésor au Ministère de l’Économie et des Finances pour la mise en œuvre d’un nouveau régime assurantiel couvrant les conséquences économiques des risques exceptionnels, dont la pandémie. Venu aux Assises pour appréhender et renforcer le dialogue entre professionnels de sécurité des systèmes d’information et Risk Managers, Oliver Wild a souligné l’ardente nécessité de cette coopération : pour discuter avec un assureur, le Risk Manager doit avoir une compréhension aiguë des risques et savoir expliquer à l’assureur le niveau de maîtrise et la façon dont le risque cyber est intégré à la cartographie des risques. Ceci appelle du côté de l’entreprise, un rassemblement d’expertises : la sécurité informatique, la capacité à quantifier financièrement les impacts et les demandes de couverture. n De gauche à droite Luc Vignancour; Maxime Cartan, Oliver Wild et Célide Desjardins «  Une entreprise qui gère ses risques aura un assureur, mais s’assurer n’est pas une décharge de responsabilité. » Luc Vignancour, Beazley «  En cyber, il n’y a qu’une vulnérabilité à trouver, un seul point dans le réseau quand le défenseur doit tout cloisonner. En biologie, un cas de contagion suffit à la création d’un cluster alors qu’il faut protéger toute la population. » Maxime Cartan, Citalid

RkJQdWJsaXNoZXIy NjQyNDQw