Formations qui pourraient vous intéresser
Formations qui pourraient vous intéresser
Aucun produit dans votre panier.
Aucun produit dans votre panier.
Publié le - Mise à jour le
Ce guide propose aux dirigeants et aux risk managers une démarche progressive pour construire étape par étape une politique de gestion du risque numérique au sein de leur organisation.
L’évolution du risque numérique engage en effet la responsabilité du dirigeant sur sa gestion et son traitement ; cette responsabilité est d’ailleurs accentuée par les réglementations actuelles, telles que RGPD, Network and Information Security (NIS), etc.
Sur un plan pratique, la démarche proposée par l’ANSSI et l’AMRAE se décline en différentes étapes.
Appréhender et comprendre son activité numérique constituent les préalables à toute démarche de gestion du risque numérique. Il s’agit d’identifier les éléments clés nécessaires à l’accomplissement des missions de l’entreprise ainsi que les composantes du système d’information sur lesquels reposent ces éléments clés.
En pratique. La démarche consiste à cartographier l’écosystème de l’entreprise en partant des missions qui lui permettent de créer de la valeur, puis à descendre progressivement vers les services numériques qui les sous-tendent.
L’objectif n’est pas d’être exhaustif mais de faire ressortir les principales activités et les services numériques ou les systèmes d’information les plus essentiels.
L’appétence aux risques est le niveau de risque qu’un dirigeant accepte de prendre pour soutenir les activités et le développement de son organisation. Elle appuie les décisions stratégiques et oriente les opérations. Pour être efficace, l’appétence aux risques doit être régulièrement réévaluée au moyen d’indicateurs de performance et selon les évolutions de l’environnement de l’organisation (sociales, techniques, économiques, environnementales et politiques).
L’identification et la quantification financière des scénarios de cyberattaque les plus critiques pour l’organisation constituent l’étape initiale de la stratégie de sécurité numérique.
En pratique, il s’agit de se poser les questions suivantes :
Quantifier financièrement les impacts des scénarios de cyberattaque les plus critiques éclaire la prise de décision quant aux options de traitement des risques. Cependant, certains coûts sont difficiles à estimer. C’est notamment le cas de ceux engendrés par une perte de confiance ou une atteinte à l’image.
Dans ce cas, le guide préconise la mise en place de dispositifs de veille de l’information pour se renseigner sur les modalités d’attaques subies par des entreprises de taille et activités comparables.
Le dirigeant doit décider du traitement des risques numériques identifiés en fonction des enjeux et objectifs stratégiques de son organisation. Sur la base de ces choix, il établit la stratégie de sécurité numérique et définit :
En pratique. La mise en œuvre d’une réponse aux scénarios de cyberattaque critiques se traduit par l’établissement d’un Plan d’Amélioration Continue de la Sécurité (PACS) incluant une démarche d’homologation interne de ses systèmes d’information.
Parmi les mesures permettant d’améliorer la résistance de l’organisation, la mise en place d’une police d’assurance cyber adaptée est essentielle. En effet, les couvertures classiques ne couvrent que très partiellement le risque numérique et, souvent le risque numérique est explicitement exclu des contrats d’assurance classiques au profit de polices d’assurance plus spécifiques (voir A&C Gestion Finance 2/18 « L’assurance des cyber-risques en pratique »).
Conseil. Pour réaliser un bilan assurantiel, vous pouvez consulter le document « Preparing for Cyber Insurance », publié en octobre 2018 par la Federation of European Risk Management Associations (FERMA), Insurance Europe (représentant les assureurs) et la Fédération européenne des intermédiaires d’assurance (BIPAR) ; ce guide constitue une aide précieuse pour mettre en place un contrat d’assurance cyber et comparer les offres.
Protéger les activités métiers et les biens supports de l’organisation passe par la mise en œuvre de mesures de sécurité.
Important. Au stade de la conception des architectures informatiques, il est crucial d’être attentif au niveau de sécurité numérique des composants afin de limiter les vulnérabilités applicatives (« security by design » ou « sécurité par conception »).
Au stade opérationnel, les protections doivent être mises en place tant pour l’usage professionnel que personnel des moyens informatiques. Un contrôle d’accès physique aux systèmes d’information les plus critiques doit être mis en œuvre et associé à un système de vidéo protection.
Conseil. N’oubliez pas le volet juridique ; en effet, une politique de prévention contractuelle active doit être déployée pour ne pas s’exposer à des poursuites, parfois pénales, engagées par des clients et partenaires.
Qualifier une cyberattaque consiste à identifier les activités et biens supports affectés par l’attaque et, surtout, la gravité de ces impacts. Il s’agit alors de réagir, de traiter et de classer les incidents. Pour y parvenir, il convient de répondre aux questions suivantes :
À noter. En cas d’acte ou de suspicion de cybercriminalité, la plateforme https://www.cybermalveillance.gouv.fr/ peut accompagner les entreprises.
En complément des dispositifs de détection, il est recommandé de mettre en œuvre un système de journalisation (logging) qui enregistre les événements relatifs à l’accès aux systèmes d’information et aux données sensibles.
Suite à une cyberattaque, l’entreprise doit être capable de maintenir son activité grâce à un Plan de Continuité d’Activité (PCA).
Conseil. Il convient de soigner la communication de crise afin de réduire les impacts directs de la cyberattaque (alerte des parties prenantes, instructions et coordination des opérations) et préserver la réputation de l’organisation.
En cas de cyberattaque, il est nécessaire de prendre contact avec les forces de police ou de gendarmerie afin de les informer de la situation.
Remarque. En fonction du cadre légal et réglementaire dans lequel s’inscrit l’entreprise, p.ex. si elle a le statut d’Opérateur de Service Essentiel (OSE) ou d’Opérateur d’Importance Vitale (OIV), elle peut être contrainte d’informer l’ANSSI de tout incident cyber (https://www.ssi.gouv.fr/en-cas-dincident/).
La mise en place d’une démarche de veille de l’information continue et itérative est vitale pour maintenir à jour les connaissances des activités, de l’écosystème (concurrence, e-réputation, aspects juridiques, capacité technologique, développement numérique, etc.) de l’entreprise et des sources de menace et méthodes d’attaques. Cette démarche d’amélioration continue passe par la mise en place d’une stratégie efficace d’audit et de contrôle ainsi que l’utilisation d’outils de mesure sous forme d’indicateurs.
Investir dans la sécurité numérique représente un coût mais répond à une attente forte des clients et partenaires de l’organisation. Il est donc possible d’en faire un avantage compétitif, même si l’évaluation du retour sur investissement des efforts consacrés à la sécurité numérique reste difficile.
À noter. Cet élément commence à être pris en compte par certains organismes tels que les agences de notation ; ainsi, certaines organisations ont vu l’évaluation de la qualité de leur crédit sanctionnée du fait d’un événement cyber.
Article rédigé par Martine Monzo, Expert-comptable diplômée
Extrait de la lettre mensuelle Alertes & Conseils Gestion-Finance, n°03/2020 de mars 2020, éditée par les Editions Francis Lefebvre
Recevez gratuitement la prochaine lettre !