Nederlands | Français Belgium

Comment faire des cyber-risques un point stratégique à l’ordre du jour du conseil d’administration de votre entreprise ?

Conseils et feuille de route pour une analyse de cas étayée.

Janvier 2017 a été un mois agité pour Yahoo, la multinationale américaine connue pour son portail et son moteur de recherche. Après la mise en lumière, à la fin de l’année dernière, des méga-fuites de données de 2013 et 2014, la Securities & Exchange Commission (régulateur américain) a ouvert une enquête pour déterminer si le géant américain aurait dû communiquer plus tôt sur ces incidents vis-à-vis de ses actionnaires. Par ailleurs, une « class action » vient d’être entamée par des actionnaires à l’encontre de la société et de ses dirigeants, à qui il est notamment reproché de ne pas avoir suffisamment sécurisé les données des utilisateurs et d’avoir mal informé les actionnaires à cet égard.

Même les petites et moyennes entreprises ne passent pas sous le radar. La Cyber Crime Unit reçoit chaque semaine plusieurs signalements de cas de cybercriminalité. Des sites de presse belges et des hôpitaux néerlandais ont encore été victimes de cyber-attaques en 2016. Le gouvernement belge et la Commission européenne n’échappent pas non plus aux piratages.

Une fois de plus, il apparaît que les cyber-risques font partie des menaces réelles et quotidiennes auxquelles chaque entreprise pourrait être confrontée et que les conséquences peuvent être très importantes : atteinte à la réputation, poursuites judiciaires, frais de reconstitution, etc. Tout comme l’assurance incendie et l’assurance responsabilité civile, il est souhaitable que l’assurance contre les cyber-risques devienne une couverture standard de base pour les entreprises.

Plus net encore est le constat que chaque département et chaîne d’activités de l’entreprise est exposé au danger des cyber-risques. Il ne suffit plus de protéger uniquement les données (confidentielles) dans des banques de données. Les hackers peuvent, à distance, mettre à l’arrêt votre fonctionnement quotidien (ligne de production, appareils d’imagerie médicale ou systèmes de gestion). Ils peuvent également mettre en péril l’approvisionnement par vos fournisseurs ou paralyser vos canaux de commerce électronique. Chaque processus vital pour l’entreprise dépend toujours, d’une manière ou d’une autre, de la technologie et celle-ci est à son tour généralement reliée à l’internet.

L’époque où la gestion des cyber-risques relevait de la responsabilité des seuls informaticiens est révolue. Les conseils d’administration sont à présent exhortés à détecter ces cyber-risques et à analyser le profil de risques de leur entreprise. Pour la plupart des entreprises, il ne s’agit pas de savoir si, mais plutôt quand elles seront victimes d’un cyber-incident. Un manquement à cette mission d’investigation pourrait aujourd’hui être considéré comme un manquement du conseil d’administration à ses devoirs élémentaires.

Les organisations qui comprennent leurs cyber-risques et évaluent correctement les incidents éventuels et leur impact financier et qui adoptent une politique claire pour la gestion de ces risques, accroissent leur compétitivité. Un tel exercice requiert une approche multidisciplinaire. C’est une réelle opportunité pour le gestionnaire de risques d’agir de manière proactive et de répondre aux questions du conseil d’administration avant même qu’elles ne soient posées.

« Les solutions en matière de cyber-assurance sont tout aussi flexibles que la technologie qui engendre ces risques. Une couverture sur mesure peut être négociée. Après une analyse de scénarios dûment étayée et avec des informations suffisantes sur les risques, votre courtier en assurance peut vous proposer des solutions innovantes. »
Raf Duyver, Cyber Risk Expert Advisor, Aon Belgium

En tant que conseiller digne de confiance, Aon fournit aux gestionnaires de risques les outils permettant de gérer cette problématique au sein de leurs organisations. Cette feuille de route en quatre étapes vous permet de réaliser une solide analyse de cas qui convaincra votre conseil d’administration.

Étape 1 : Analyse multidisciplinaire des risques
Identifiez les risques les plus importants au sein de votre organisation et comprenez-les. Mettez-vous à l'œuvre avec les collègues des départements informatique, juridique et des ressources humaines, et impliquez également votre courtier en assurance dans cette analyse. Commencez par établir une liste des cyber-scénarios et demandez à ces différents départements de faire de même. Discutez ensemble des scénarios et faites une évaluation des conséquences financières éventuelles pour l’entreprise. Cela permet d’accorder une certaine priorité aux risques et aux scénarios de dommages pouvant en résulter. Examinez également l’appétit au risque et la capacité financière de votre organisation.

Étape 2 : Assurabilité des risques identifiés
Sur base de l’étape précédente, examinez à présent dans quelle mesure les cyber-risques identifiés peuvent être assurés, que ce soit par le biais de vos polices actuelles ou dans le cadre de nouvelles couvertures. Collaborez avec votre courtier en assurance à cet effet.

  • Vérifiez si certains scénarios sont repris dans les contrats d’assurance en cours.
  • Vérifiez si ces risques sont totalement assurables et si la police d’assurance décrit les risques de façon suffisamment claire pour qu’ils relèvent de la couverture. Prenez garde aux polices ambiguës ou « muettes ». Présumer que des scénarios relèvent du périmètre de la couverture parce qu’ils ne sont pas expressément exclus est source d’incertitude.
  • Soyez attentifs aux nouvelles exclusions ou aux « précisions » proposées par les assureurs lors des renouvellements de vos contrats d’assurance.
  • Revoyez l’information soumise aux assureurs et les échanges au moment du placement de vos polices. Les assureurs confrontés à des sinistres liés à la cybercriminalité renvoient de plus en plus souvent à l’« esprit » de la police. Certains avancent en outre qu’ils n’ont jamais reçu les informations nécessaires à l’appréciation de ces risques spécifiques, qui ne peuvent en conséquence être couverts.

Étape 3 : Mesures de prévention
Identifiez les solutions alternatives pour les risques non assurables. Certaines mesures techniques ou de simples changements de culture et de comportement peuvent aider à se prémunir contre un risque ou un scénario déterminé. Une formation, des campagnes de sensibilisation ou un meilleur contrôle des accès ont déjà souvent fait leurs preuves.

Étape 4: Un plan d’action concret
Pour chaque risque/scénario, établissez des actions précises à entreprendre et intégrez-les dans un solide plan d’action. Pour chaque scénario, traitez notamment les sujets suivants :

  • Le risque est-il traité, limité, transféré ou évité ?
  • Quel est l’impact financier estimé du scénario et le delta avec les garanties d’assurance ?
  • Quelles sont les étapes suivantes ? Une protection supplémentaire, un suivi adéquat, la souscription d’une couverture d’assurance complémentaire ou une étude plus détaillée du scénario pour pouvoir prendre la décision appropriée ?