Gouvernance

Comprendre et prévenir les cyber-risques : une priorité pour administrateurs et dirigeants

Les cyberattaques sont devenues un enjeu majeur pour notre économie. Les entreprises (grands groupes, Eti et PME) font l’objet d’attaques informatiques répétées : espionnage économique, fraude, demande de rançon, utilisation des données.  Elles peuvent avoir des conséquences très significatives sur leurs finances et leur réputation.

La cybersécurité est un sujet stratégique pour les entre- prises : prioritaire pour les actionnaires (risque de perte de valeur), les conseils d’administration et notamment les comités d’audit (protection des actifs, contrôle interne), ainsi que pour les clients (fiabilité des produits, protection des données)

Des risques encore méconnus et sous-évalués

La 18e  étude EY sur la cybersécurité établit que dans un environnement digitalisé qui évolue sans cesse, avec une prolifération des terminaux mobiles, des objets connectés, 36 % des entreprises interrogées ne savent pas détecter des attaques sophistiquées, 20 % ne savent pas quantifier l’impact d’attaques, 44 % pensent que les problèmes viennent de salariés non sensibilisés, 34 % de systèmes obsolètes.

Hervé Guillou attire notre attention “sur l’interconnectivité croissante des systèmes d’information d’entreprises, des systèmes informatiques industriels (production et maintenance) et des systèmes opérationnels embarqués. La sécurité doit se préoccuper des trois domaines, de façon transversale.”

Parmi les nouveaux facteurs de risque :

• Le cloud : 85 % des entreprises stockent des données dans un cloud sans se préoccuper de sa sécurité.

• La non-séparation des données stratégiques et non stratégiques. La partie confidentielle ne doit pas être mise dans le cloud, ni même dans un circuit accessible par internet pour les plus sensibles. 

• Les projets de migration vers Office 365 qui modifient les usages, les politiques de sécurité des systèmes d’information et leurs modes de contrôle.

• Les  ransomwares : ces  programmes  malveillants chiffrent les données stockées dans les ordinateurs touchés et invitent à payer pour les récupérer.

• La négligence des collaborateurs : un de vos salariés peut ouvrir votre réseau informatique à des concurrents ou aux médias. trop d’employés disposent d’accès excessifs aux informations, au-delà de ce dont ils ont besoin pour effectuer leur travail. Les bonnes pratiques en matière de sécurité informatique sont insuffisamment diffusées.

Quelles sont les conséquences ?

La cybersécurité est un enjeu majeur pour les individus (protection de la vie privée et du patrimoine), les entreprises (sécurité des données et enjeu financier) et les nations (enjeu de souveraineté). quelques éléments per- mettent de mesurer les conséquences financières qui sont en jeu :

• Le coût de la “fraude au président” (arnaque consistant à convaincre le collaborateur d’une entreprise d’effectuer un virement en se faisant passer pour l’un de ses dirigeants) est estimé à 480 M€ par an en France.

• Les entreprises font face à un risque de perte de propriété intellectuelle, d’avantage concurrentiel, de données clients, de sabotage, de réputation. En 2015, un demi-milliard d’informations personnelles ont été perdues ou volées dans le monde.

• Les points d’attaque se multiplient, l’échelle des risques augmente donc elle aussi : non seulement  les réseaux d’entreprises petites ou grandes ; mais nos téléphones, tablettes, objets connectés, bracelets fitness, réfri- gérateurs et jusqu’aux rames de métro automatisées - tous ces éléments constituent des cibles.

• Le cybercrime coûte 445 Mds$ par an alors que les catastrophes naturelles n’ont représenté “que” 160 Mds$ de dommages en moyenne au cours des dix dernières années dans le monde.

 

Est-ce une  question stratégique pour le conseil d’administration et les dirigeants ?

Les enjeux liés aux cyberattaques peuvent être majeurs et les membres d’un conseil d’administration ne doivent pas attendre  qu’une attaque se produise pour évaluer les risques auxquels leur société est exposée.

Trop de dirigeants d’entreprise estiment que la cybersécurité est du ressort de la direction informatique alors que c’est une problématique beaucoup plus transversale qui concerne également les systèmes de production, de maintenance, mais également l’informatique embarquée dans les produits et services délivrés par les entreprises. il ne faut pas non plus oublier la supply chain et, plus généralement  l’entreprise étendue  (relation clients, fournisseurs, filiales, partenaires…).

Sur ce point, voici quelques  bonnes pratiques à suivre en matière d’organisation :

• Pour certaines entreprises (en fonction de leur business), mettre la cyber- sécurité au premier plan des ordres du jour dans les conseils d’administration, pour pouvoir identifier les menaces les plus importantes et comprendre la stratégie à mettre en place pour y remédier.

• Créer  un  comité  technologique  capable  de  gérer  et  contrôler  les cyber-risques.

• Suivre l’exécution de cette stratégie, qui doit être portée par le dirigeant de l’entreprise, en lien étroit avec la personne responsable de la cybersécurité.

• Instaurer un dialogue transparent et régulier entre responsables informa- tiques et dirigeants (un décideur informatique sur quatre n’informe pas sa direction en cas de cyberattaque).

Pour ce qui est de l’organisation interne, Hervé Guillou recommande que “le responsable de la cybersécurité soit rattaché au président, et qu’il soit membre du Comex si l’activité est fortement liée aux nouvelles technologies et à l’it”.

Alain Bouillé souligne que “65 % des RSSI (Responsables de la sécurité des systèmes d’information) sont rattachés au DSI (Directeur des systèmes d’infor- mation)  mais que la tendance est à la séparation des fonctions”.

Quelles recommandations ?

Les réponses à apporter sont multiples : individuelles et collectives, éducatives, techniques,  juridiques, régle- mentaires. Pour Alexandre Montay, “il ne s’agit pas seu- lement d’un problème de budget, il s’agit d’un enjeu culturel : le dirigeant doit d’abord prendre conscience des risques”.

Le conseil d’administration doit se préparer à la gestion de crise (avec un protocole de surveillance et d’inter- vention, et du partage d’informations avec d’autres entre- prises). Au préalable, il convient :

• d’identifier, de classifier et de localiser les données stratégiques de l’entreprise,

• de superviser la mise en place de dispositifs d’alerte,

• d’informer le conseil d’administration régulièrement,

• de  s’assurer  de  la  conformité  aux  contraintes règlementaires,

• de vérifier la mise à jour des contrats d’assurance au regard de ces nouveaux risques. En effet, l’assurance sait répondre aux nombreux préjudices potentiels : frais de reconstitution  des données, aide à la gestion de crise, aide à la reconstitution d’image, coût des mises en cause de la responsabilité de l’entreprise etc. Au sujet des assurances, Alain Juillet rappelle que “Le montant total des primes d’assurances relatives aux cyber- risques payées par les entreprises américaines, est 100 fois plus élevé qu’en France à iso PNB”.

• intégrer les cyber-risques au rapport annuel (en dimi- nuant les pages RSE !).

 

Marie de Fréminville (H.86)