Compliance, audit et risques

Comment maîtriser le risque numérique ?

Comment maîtriser le risque numérique ?

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) viennent de publier un guide intitulé « Maîtrise du risque numérique – L’atout confiance ». Décryptage.

 

La démarche proposée

Ce guide propose aux dirigeants et aux risk managers une démarche progressive pour construire étape par étape une politique de gestion du risque numérique au sein de leur organisation.

L’évolution du risque numérique engage en effet la responsabilité du dirigeant sur sa gestion et son traitement ; cette responsabilité est d’ailleurs accentuée par les réglementations actuelles, telles que RGPD, Network and Information Security (NIS), etc.

Sur un plan pratique, la démarche proposée par l’ANSSI et l’AMRAE se décline en différentes étapes.

 

Comprendre le risque numérique et s’organiser

1. Cartographier son activité.

Appréhender et comprendre son activité numérique constituent les préalables à toute démarche de gestion du risque numérique. Il s’agit d’identifier les éléments clés nécessaires à l’accomplissement des missions de l’entreprise ainsi que les composantes du système d’information sur lesquels reposent ces éléments clés.

 

En pratique. La démarche consiste à cartographier l’écosystème de l’entreprise en partant des missions qui lui permettent de créer de la valeur, puis à descendre progressivement vers les services numériques qui les sous-tendent.

L’objectif n’est pas d’être exhaustif mais de faire ressortir les principales activités et les services numériques ou les systèmes d’information les plus essentiels.

 

2. Connaître son seuil d’acceptation des risques.

L’appétence aux risques est le niveau de risque qu’un dirigeant accepte de prendre pour soutenir les activités et le développement de son organisation. Elle appuie les décisions stratégiques et oriente les opérations. Pour être efficace, l’appétence aux risques doit être régulièrement réévaluée au moyen d’indicateurs de performance et selon les évolutions de l’environnement de l’organisation (sociales, techniques, économiques, environnementales et politiques).

 

3. Construire ses pires scénarios de risque.

L’identification et la quantification financière des scénarios de cyberattaque les plus critiques pour l’organisation constituent l’étape initiale de la stratégie de sécurité numérique.

En pratique, il s’agit de se poser les questions suivantes :

  • quels sont les événements redoutés qui peuvent impacter les valeurs métiers de l’organisation ?
  • quels sont les attaquants susceptibles de porter atteinte aux activités de l’organisation et quels sont leurs objectifs ?
  • mes systèmes d’information sont-ils suffisamment robustes pour résister à une cyberattaque ciblée ?
  • quels sont les risques tiers qui peuvent impacter l’organisation (risque d’image négative, de non-conformité, sanitaire, environnemental, etc.) ?

 

Quantifier financièrement les impacts des scénarios de cyberattaque les plus critiques éclaire la prise de décision quant aux options de traitement des risques. Cependant, certains coûts sont difficiles à estimer. C’est notamment le cas de ceux engendrés par une perte de confiance ou une atteinte à l’image.

Dans ce cas, le guide préconise la mise en place de dispositifs de veille de l’information pour se renseigner sur les modalités d’attaques subies par des entreprises de taille et activités comparables.

 

4. Définir sa stratégie de sécurité numérique.

Le dirigeant doit décider du traitement des risques numériques identifiés en fonction des enjeux et objectifs stratégiques de son organisation. Sur la base de ces choix, il établit la stratégie de sécurité numérique et définit :

  • les objectifs prioritaires ;
  • les ressources allouées ;
  • les étapes visant à atteindre le niveau de maturité cyber visé.

 

En pratique. La mise en œuvre d’une réponse aux scénarios de cyberattaque critiques se traduit par l’établissement d’un Plan d’Amélioration Continue de la Sécurité (PACS) incluant une démarche d’homologation interne de ses systèmes d’information.

 

5. Étudier l’opportunité d’une couverture assurantielle adaptée.

Parmi les mesures permettant d’améliorer la résistance de l’organisation, la mise en place d’une police d’assurance cyber adaptée est essentielle. En effet, les couvertures classiques ne couvrent que très partiellement le risque numérique et, souvent le risque numérique est explicitement exclu des contrats d’assurance classiques au profit de polices d’assurance plus spécifiques (voir A&C Gestion Finance 2/18 « L’assurance des cyber-risques en pratique »).

 

Conseil. Pour réaliser un bilan assurantiel, vous pouvez consulter le document « Preparing for Cyber Insurance », publié en octobre 2018 par la Federation of European Risk Management Associations (FERMA), Insurance Europe (représentant les assureurs) et la Fédération européenne des intermédiaires d’assurance (BIPAR) ; ce guide constitue une aide précieuse pour mettre en place un contrat d’assurance cyber et comparer les offres.

 

Bâtir son socle de sécurité

Bâtir sa protection.

Protéger les activités métiers et les biens supports de l’organisation passe par la mise en œuvre de mesures de sécurité.

Important. Au stade de la conception des architectures informatiques, il est crucial d’être attentif au niveau de sécurité numérique des composants afin de limiter les vulnérabilités applicatives (« security by design » ou « sécurité par conception »).

 

Au stade opérationnel, les protections doivent être mises en place tant pour l’usage professionnel que personnel des moyens informatiques. Un contrôle d’accès physique aux systèmes d’information les plus critiques doit être mis en œuvre et associé à un système de vidéo protection.

Conseil. N’oubliez pas le volet juridique ; en effet, une politique de prévention contractuelle active doit être déployée pour ne pas s’exposer à des poursuites, parfois pénales, engagées par des clients et partenaires.

 

Orienter sa défense et anticiper sa réaction.

Qualifier une cyberattaque consiste à identifier les activités et biens supports affectés par l’attaque et, surtout, la gravité de ces impacts. Il s’agit alors de réagir, de traiter et de classer les incidents. Pour y parvenir, il convient de répondre aux questions suivantes :

  • que faire lors de la détection d’un incident ?
  • qui alerter ?
  • quelles sont les premières mesures à appliquer ?
  • quel est l’impact de la cyberattaque sur le fonctionnement de mon organisation ?

 

À noter. En cas d’acte ou de suspicion de cybercriminalité, la plateforme https://www.cybermalveillance.gouv.fr/ peut accompagner les entreprises.

 

En complément des dispositifs de détection, il est recommandé de mettre en œuvre un système de journalisation (logging) qui enregistre les événements relatifs à l’accès aux systèmes d’information et aux données sensibles.

 

Faire preuve de résilience en cas de cyberattaque.

Suite à une cyberattaque, l’entreprise doit être capable de maintenir son activité grâce à un Plan de Continuité d’Activité (PCA).

Conseil. Il convient de soigner la communication de crise afin de réduire les impacts directs de la cyberattaque (alerte des parties prenantes, instructions et coordination des opérations) et préserver la réputation de l’organisation. 

 

En cas de cyberattaque, il est nécessaire de prendre contact avec les forces de police ou de gendarmerie afin de les informer de la situation.

Remarque. En fonction du cadre légal et réglementaire dans lequel s’inscrit l’entreprise, p.ex. si elle a le statut d’Opérateur de Service Essentiel (OSE) ou d’Opérateur d’Importance Vitale (OIV), elle peut être contrainte d’informer l’ANSSI de tout incident cyber (https://www.ssi.gouv.fr/en-cas-dincident/).

 

Mettre en place une démarche d’amélioration continue.

La mise en place d’une démarche de veille de l’information continue et itérative est vitale pour maintenir à jour les connaissances des activités, de l’écosystème (concurrence, e-réputation, aspects juridiques, capacité technologique, développement numérique, etc.) de l’entreprise et des sources de menace et méthodes d’attaques. Cette démarche d’amélioration continue passe par la mise en place d’une stratégie efficace d’audit et de contrôle ainsi que l’utilisation d’outils de mesure sous forme d’indicateurs.

 

Valoriser sa cybersécurité

Un avantage compétitif.

Investir dans la sécurité numérique représente un coût mais répond à une attente forte des clients et partenaires de l’organisation. Il est donc possible d’en faire un avantage compétitif, même si l’évaluation du retour sur investissement des efforts consacrés à la sécurité numérique reste difficile.

 

À noter. Cet élément commence à être pris en compte par certains organismes tels que les agences de notation ; ainsi, certaines organisations ont vu l’évaluation de la qualité de leur crédit sanctionnée du fait d’un événement cyber. 

 

La démarche proposée par ce guide permet aux entreprises de mettre en place et maintenir un dispositif performant de gestion de cette nature de risque très spécifique. Ce guide met aussi l’accent sur la valorisation de cet investissement et sur l’atout que représente la sécurité numérique, facteur de croissance et de confiance vis-à-vis des partenaires de l’entreprise.

 

Article rédigé par Martine Monzo, Expert-comptable diplômée

 

 

Extrait de la lettre mensuelle Alertes & Conseils Gestion-Finance, n°03/2020 de mars 2020, éditée par les Editions Francis Lefebvre

Recevez gratuitement la prochaine lettre !

 

Pour en savoir plus :

  • Comment mettre en place un système de management du contrôle interne ?
    Compliance, audit et risques

    Afin de prévenir et de maîtriser les risques opérationnels et financiers de leur activité, de nombreuses organisations prévoient des dispositifs de contrôle interne qui sont mis en œuvre par différents acteurs et administrés par un système de management. Des acteurs du contrôle interne présents à...

  • Audit, contrôle et gestion des risques
    Compliance, audit et risques

    Depuis 2018, l’IAASB (International Auditing and Assurance Standards Board) œuvre sur un projet de simplification des audits pour les entités définies comme « peu complexes », pour lesquelles la mise en œuvre des normes internationales d’audit (ISA) est difficile. L’IAASB a constitué des groupes de...