1 50 Table of Contents 52 76

ATOUT RISK MANAGER N°28

Dossier - La sagesse du risque pour l’immunité collective PME et ETI, où le dirigeant joue souvent le rôle de Risk Manager, il convient de faire preuve de bon sens : identifier ses données cruciales, ses fournisseurs sensibles (les maillons faibles) et se faire accompagner d’experts de la transformation numérique » . Sur ce dernier point, le site cybermalveillance.gouv.fr et le guide commun AMRAE-ANSSI sont des outils précieux. «Mêmepour les grands groupes qui pensent être bien protégés, il est important dès que l’on prépare un nouveau projet, de ne pas aggraver sa dette cyber » conseille Mylène Jarossay. Enfin, interrogés sur la possibilité d’une cyber- pandémie, les participants se montrent prudents : Plutôt que de cyber-pandémie, Philippe Cotelle préfère parler de « cyber- dépendance généralisée» . Christophe Delcamp ne croit pas non plus à l’hypothèse d’une pandémie cyber, alors que Mylène Jarossay pense que c’est au contraire envisageable, «si un grand hébergeur ou un logiciel très diffusé étaient touchés » . D’où l’intérêt du « cloisonnement technique pour éviter la propagation» insiste Nicolas Arpagian. n ATOUT RISK MANAGER N°28 I PRINTEMPS 2021 51 « Le nombre de victimes à des fins de rançonnage a quadruplé en un an (200 en 2020 contre 50 en 2019), le cyber espionnage continue de progresser en silence et les conflits de demain seront essentiellement numériques. Pour l’État et les collectivités locales, ne pas se positionner sur des systèmes sensibles pourrait avoir des conséquences gravissimes sur les services essentiels : les transports, l’énergie, l’eau, les télécoms, les hôpitaux, etc. Mais je vais être cash : les acteurs publics ne vont pas faire le boulot des entreprises, le numérique est partout et il n’existe pas de bouclier. Vous n’êtes pas condamnés à subir ces attaques : la sécurité numérique doit être intégrée dans la gouvernance des entreprises. Les décideurs doivent s’entourer d’experts pour éclairer leur décision. La gestion du risque cyber n’est pas séparée de tous les autres risques d’entreprise, c’est le même métier ! Toutes ces recommandations sont décrites par le menu dans le guide sur la maîtrise du risque numérique publié en 2019 par l’AMRAE et l’ANSSI et qui n’a pas pris une ride depuis. Se protéger contre le risque cyber, ça ne supprime pas les cambrioleurs, mais ça les envoie chez les autres… Bien sûr, tout cela a un coût humain et économique : 5 à 10% du budget annuel de l’entreprise, mais les pertes peuvent atteindre des millions d’euros par jour. Enfin, il faut garder le sujet assurantiel dans la boucle, couvrir les bons élèves, ceux qui ont fait la démarche de se protéger contre les cyberattaques pour les risques résiduels. À l’inverse, protéger des entreprises qui font n’importe quoi n’a aucun sens ! » «Vousn’êtespas condamnésàsubir lesattaques cyber» Guillaume Poupard, Directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI) Christophe Delcamp, Directeur adjoint des assurances de biens et de responsabilités de la FFA Mylène Jarossay, Présidente du Cesin « Depuis les injonctions de l’ACPR pour en finir avec les garanties cachées, nous sommes revenus aux fondamentaux : les contrats sont clairs et font l’objet d’une vraie analyse de risque. » « Même pour les grands groupes qui pensent être bien protégés, il est important dès que l’on prépare un nouveau projet, de ne pas aggraver sa dette cyber. »

RkJQdWJsaXNoZXIy NjQyNDQw