La cyber criminalité touche aux informations les plus confidentielles constitutives de la performance
Entretien avec Laurent Barbagli (Lafarge), Guillaume de Chatellus (Generali), Étienne de Séréville (
Entretien avec Laurent Barbagli (administrateur de l’Amrae, directeur des risques et des assurances, Lafarge),
Guillaume de Chatellus (directeur entités régionales, direction entreprise, Generali),
Étienne de Séréville (RSSI, leader consulting cyber sécurité, IBM, président du cercle Fortitude)
et Luc Vignancour (directeur adjoint département Finpro, Marsh)
Intervenants à l’atelier de l’Amrae dédié à la cybercriminalité (février 2012)
Décideurs. Quels sont les principaux enjeux de la cybercriminalité ?
Etienne de Séréville. La cybercriminalité comporte des risques diffus, techniques, qui requièrent une forte expertise, dont les menaces sont difficiles à identifier et les leviers à actionner pour en réduire l’impact sont complexes. Ces risques s’expriment à la fois en impact financier et d’image pour l’entreprise.
Laurent Barbagli. Le premier défi est de bien définir le sujet. Il faut cerner les postes, quantifiés et identifiés par le client, qui doivent être couverts en cas d’attaque.
E. de S. Les frontières de l’informatique des entreprises sont de plus en plus floues, les données étant aussi sur les smartphones des collaborateurs. Or il n’a jamais été aussi facile de lancer une cyber attaque. Cela conduit à adapter la gestion de ce risque aux évolutions des menaces et des actifs. Il existe des services, solutions logicielles et matérielles qui permettent l’anticipation, la prévention, la protection, la détection et la réaction pour réduire ces risques.
Guillaume de Chatellus. La cyber criminalité touche au capital immatériel de l’entreprise et aux informations les plus confidentielles constitutives de sa performance. L’éducation des managers à ces risques est un enjeu majeur. Peu de formations abordent le sujet, ce qui vulnérabilise les entreprises dans lesquelles ils exercent des fonctions de cadres.
Décideurs. Quels sont les leviers de la prise de conscience de l’entreprise ?
Luc Vignancour. Les systèmes informatiques de l’entreprise évoluent, ils sont de moins en moins concentrés. La définition et la délimitation de ce qui est critique est un défi : c’est tout l’enjeu, notamment, du débat sur le cloud externalisé. L’évolution de la législation, qui tend à protéger de plus en plus les données personnelles, est aussi à prendre en compte. L’obligation de communiquer une attaque de base de données, qui concerne depuis mai 2010 les opérateurs téléphoniques, sera étendue à l’ensemble des acteurs économiques fin 2012…
E. de S. Les entreprises sont également sensibilisées par le cru exceptionnel qu’a été l’année 2011 avec Wikileaks, l’attaque de Bercy, des bases de données de Sony, ou encore le vers Stuxnets. Si ces risques sont de plus en plus prégnants, la démarche traditionnelle de l’adresser sur la seule base technologique n’est plus suffisante, il faut l’aborder également sur l’axe du patrimoine informationnel de l’entreprise.
Décideurs. Quelle est le rôle du risk manager face à ce risque émergent ?
L. B. Il est clé, pour accrocher l’intérêt de la direction générale, d’aborder ce risque d’un point de vue opérationnel. Le sujet est très transverse, il ne s’agit pas uniquement d’une question informatique, ou d’assurances. C’est d’ailleurs le message que nous faisons passer dans nos communications communes avec le Clusif : risk manager et RSSI doivent travailler de conserve.
Auprès de la direction générale, le risk manager a un rôle d’éducation. Il doit veiller à ce que le traitement du risque ne s’effectue pas en silo. Il est un coordinateur qui doit comprendre et faire comprendre que tout est lié, dans une démarche d’éducation des collaborateurs et des sous-traitants.
Décideurs. En matière d’assurance, quels sont les enjeux de la cybercriminalité ?
G. de C. D’abord, il s’agit d’identifier tous les préjudices potentiels : au-delà des postes de garanties classiques, d’autres nécessitent une identification et une quantification pour que l’assurance réponde aux enjeux véritables de la cybercriminalité. Comment quantifier, après une cyber attaque, la perte d’image, de confiance, de valeur client, bref, l’atteinte au goodwil, identifié au bilan dans les normes IFRS ? Ces questions sont fondamentales pour le développement d’un marché rentable. Or, sur ce sujet, on ne peut qu’évaluer les montants. Deuxièmement, il faut se demander si la seule réponse assurancielle est suffisante. Ne nécessite-t-elle pas un accompagnement en amont par des mesures de prévention et, en aval, un accompagnement post sinistre ? Les entreprises devraient s’attacher une réponse multi-expertise et combinée.
L. V. Se pose également une problématique de sous-traitance et d’externalisation. Beaucoup d’entreprises se recentrent sur leur métier et externalisent les services informatiques. Dans le même temps, l’ensemble de ces services est au cœur de l’entreprise. Leur externalisation est donc source de nombreuses craintes. Le marché des assurances, sur ces sujets, reste néanmoins économiquement soutenable.
Décideurs. En conclusion, quel message souhaitez-vous transmettre aux entreprises ?
L. B. Le risque de cybercriminalité connaît une réelle montée en puissance, il s’agit d’un sujet de pure gestion des risques sur lequel le risk manager doit emmener son entreprise dans une démarche qui dépasse le silo. La prise de conscience, au sein du management, de la gravité de ces sinistres est le premier pas vers la mise en œuvre de moyens consacrés à la maîtrise du risque: par une cyber-attaque, on attaque le système nerveux et les fondamentaux de son organisation.
Lire aussi notre article Cybercriminalité contre eldorado des données
Guillaume de Chatellus (directeur entités régionales, direction entreprise, Generali),
Étienne de Séréville (RSSI, leader consulting cyber sécurité, IBM, président du cercle Fortitude)
et Luc Vignancour (directeur adjoint département Finpro, Marsh)
Intervenants à l’atelier de l’Amrae dédié à la cybercriminalité (février 2012)
Décideurs. Quels sont les principaux enjeux de la cybercriminalité ?
Etienne de Séréville. La cybercriminalité comporte des risques diffus, techniques, qui requièrent une forte expertise, dont les menaces sont difficiles à identifier et les leviers à actionner pour en réduire l’impact sont complexes. Ces risques s’expriment à la fois en impact financier et d’image pour l’entreprise.
Laurent Barbagli. Le premier défi est de bien définir le sujet. Il faut cerner les postes, quantifiés et identifiés par le client, qui doivent être couverts en cas d’attaque.
E. de S. Les frontières de l’informatique des entreprises sont de plus en plus floues, les données étant aussi sur les smartphones des collaborateurs. Or il n’a jamais été aussi facile de lancer une cyber attaque. Cela conduit à adapter la gestion de ce risque aux évolutions des menaces et des actifs. Il existe des services, solutions logicielles et matérielles qui permettent l’anticipation, la prévention, la protection, la détection et la réaction pour réduire ces risques.
Guillaume de Chatellus. La cyber criminalité touche au capital immatériel de l’entreprise et aux informations les plus confidentielles constitutives de sa performance. L’éducation des managers à ces risques est un enjeu majeur. Peu de formations abordent le sujet, ce qui vulnérabilise les entreprises dans lesquelles ils exercent des fonctions de cadres.
Décideurs. Quels sont les leviers de la prise de conscience de l’entreprise ?
Luc Vignancour. Les systèmes informatiques de l’entreprise évoluent, ils sont de moins en moins concentrés. La définition et la délimitation de ce qui est critique est un défi : c’est tout l’enjeu, notamment, du débat sur le cloud externalisé. L’évolution de la législation, qui tend à protéger de plus en plus les données personnelles, est aussi à prendre en compte. L’obligation de communiquer une attaque de base de données, qui concerne depuis mai 2010 les opérateurs téléphoniques, sera étendue à l’ensemble des acteurs économiques fin 2012…
E. de S. Les entreprises sont également sensibilisées par le cru exceptionnel qu’a été l’année 2011 avec Wikileaks, l’attaque de Bercy, des bases de données de Sony, ou encore le vers Stuxnets. Si ces risques sont de plus en plus prégnants, la démarche traditionnelle de l’adresser sur la seule base technologique n’est plus suffisante, il faut l’aborder également sur l’axe du patrimoine informationnel de l’entreprise.
Décideurs. Quelle est le rôle du risk manager face à ce risque émergent ?
L. B. Il est clé, pour accrocher l’intérêt de la direction générale, d’aborder ce risque d’un point de vue opérationnel. Le sujet est très transverse, il ne s’agit pas uniquement d’une question informatique, ou d’assurances. C’est d’ailleurs le message que nous faisons passer dans nos communications communes avec le Clusif : risk manager et RSSI doivent travailler de conserve.
Auprès de la direction générale, le risk manager a un rôle d’éducation. Il doit veiller à ce que le traitement du risque ne s’effectue pas en silo. Il est un coordinateur qui doit comprendre et faire comprendre que tout est lié, dans une démarche d’éducation des collaborateurs et des sous-traitants.
Décideurs. En matière d’assurance, quels sont les enjeux de la cybercriminalité ?
G. de C. D’abord, il s’agit d’identifier tous les préjudices potentiels : au-delà des postes de garanties classiques, d’autres nécessitent une identification et une quantification pour que l’assurance réponde aux enjeux véritables de la cybercriminalité. Comment quantifier, après une cyber attaque, la perte d’image, de confiance, de valeur client, bref, l’atteinte au goodwil, identifié au bilan dans les normes IFRS ? Ces questions sont fondamentales pour le développement d’un marché rentable. Or, sur ce sujet, on ne peut qu’évaluer les montants. Deuxièmement, il faut se demander si la seule réponse assurancielle est suffisante. Ne nécessite-t-elle pas un accompagnement en amont par des mesures de prévention et, en aval, un accompagnement post sinistre ? Les entreprises devraient s’attacher une réponse multi-expertise et combinée.
L. V. Se pose également une problématique de sous-traitance et d’externalisation. Beaucoup d’entreprises se recentrent sur leur métier et externalisent les services informatiques. Dans le même temps, l’ensemble de ces services est au cœur de l’entreprise. Leur externalisation est donc source de nombreuses craintes. Le marché des assurances, sur ces sujets, reste néanmoins économiquement soutenable.
Décideurs. En conclusion, quel message souhaitez-vous transmettre aux entreprises ?
L. B. Le risque de cybercriminalité connaît une réelle montée en puissance, il s’agit d’un sujet de pure gestion des risques sur lequel le risk manager doit emmener son entreprise dans une démarche qui dépasse le silo. La prise de conscience, au sein du management, de la gravité de ces sinistres est le premier pas vers la mise en œuvre de moyens consacrés à la maîtrise du risque: par une cyber-attaque, on attaque le système nerveux et les fondamentaux de son organisation.
Lire aussi notre article Cybercriminalité contre eldorado des données