Comment et pourquoi hierarchiser les risques en entreprises et intégrer la menace cyber?
Les organisations sont aujourd’hui confrontées à de nombreux risques pouvant les déstabiliser et avoir des impacts négatifs sur leurs activités. Parmi les nouvelles menaces auxquelles elles doivent faire face figurent notamment les cyberattaques. Piratage, vol de données, défaçage (détournement) de sites Internet, blocage via des attaques DDOS… près de 8 entreprises sur 10 ont subi au moins une tentative de fraude en 2016[i], et ce chiffre est en constante augmentation. Selon Panda Labs Juniper Research, la cybercriminalité aura coûté aux organisations plus de 2 milliards de dollars d’ici 2019. Un chiffre effarant mais qui, après un simple clic sur la carte en temps réel de Norse Corp permet de constater que cette menace est bien réelle.
Dans ce contexte, le risque cyber est devenu un enjeu majeur pour les entreprises qui entendent éviter au maximum une perte de la productivité ainsi que des pertes financières ou des pertes de données conséquentes. Cependant, doivent-elles pour autant se focaliser uniquement sur ce nouveau risque ? Comment hiérarchiser l’ensemble des risques et ainsi protéger l’ensemble des ressources d’une entreprise ?
Anticiper les menaces, un métier
Lorsqu’un dirigeant prend une décision, il raisonne généralement à travers le prisme des risques et s’assure des conséquences économiques qui vont en découler. Le rôle du risk manager est donc crucial. Cartographier, quantifier et évaluer l’ensemble des risques inhérents à l’activité de l’entreprise afin de les mettre en rapport avec toutes les menaces, relèvent de ses missions. Il lui incombe de mesurer l’impact maximum tant au niveau opérationnel, que financier et juridique en cas de survenance. Son objectif n’est pas de gérer le risque mais de s’assurer que ce dernier soit pris en compte dans les décisions de l’entreprise. En effet, le risk manager fournit à la Direction Générale les informations nécessaires permettant de définir les limites acceptables à la prise de risques et coordonne la maîtrise de ces risques.
Il est donc primordial pour une entreprise, grande ou petite, de protéger les ressources vitales ou les actifs qui assurent son bon fonctionnement :
- Les collaborateurs de l’entreprise,
- Les ressources techniques, les processus et les matériels de l’entreprise,
- Les ressources tiers (fournisseurs, partenaires, …),
- Les informations,
- Les ressources financières.
Les risques auxquels sont confrontées les organisations évoluent au fil des années : la menace d’une cyberattaque était relativement faible il y a vingt ans or, aujourd’hui, elle tient une place très importante dans la hiérarchie des risques du fait du nombre croissant de menaces et de leur sophistication. Elle peut en effet impacter une chaîne de production, mettre au chômage technique de nombreux collaborateurs et causer des pertes financières significatives. Cependant, la menace cyber représente un des risques de l’entreprise, mais ce n’est pas le seul et l’unique.
Comment s’intègre le risque cyber aujourd’hui en entreprise ?
Incontestablement, la cybersécurité est devenue un axe majeur de vigilance pour les entreprises car le risque cyber peut avoir d’importantes répercussions sur une partie des ressources qui assurent le bon fonctionnement de la société. Lors d’une cyberattaque, les données sont sans conteste la ressource la plus impactée, entrainant des conséquences directes ou indirectes sur les ressources financières - qui sont généralement la cible des cybers attaquants - ou sur les ressources techniques. Les processus internes et les collaborateurs de l’entreprise peuvent également être les cibles des hackers car ils représentent des espaces de vulnérabilités certains, comme le prouve le boom de la « fraude au président » en 2016[ii].
Pour les risk managers, l’enjeu est donc de bien mesurer cette menace et de la positionner convenablement dans l’univers des risques de l’entreprise. A l’heure où la transformation digitale des organisations est devenue une réalité, la perception du risque cyber ne peut qu’augmenter.
Cependant, cette transition digitale ne doit pas encourager les risk managers à se focaliser exclusivement sur ce dernier au détriment de la protection des autres ressources de l’entreprise. Le secteur d’activité, le contexte et le business model de l’entreprise doivent être pris en compte dans la hiérarchisation des risques. Ainsi, les organisations dépendant fortement d’Internet et du numérique classifieront ce risque comme majeur et, inversement, le niveau de vigilance sera moindre pour celles ne dépendant que très peu du monde numérique. Dans ce contexte, la menace d’une cyberattaque doit être considérée comme étant un nouveau risque émergeant mais ne doit pas pour autant remettre en cause les cartographies déjà existantes. Et comme tout risque, les décisionnaires doivent apporter une réponse adaptée et cohérente avec la stratégie de l’entreprise, pour en assurer la maitrise et s’assurer du maintien de son activité opérationnelle.
Le risque cyber est bel et bien présent. Les menaces évoluent et l’imagination des hackers amène les RSSI et les DSI à repenser en permanence leur gouvernance mais cette nouvelle menace n’est pas qu’exogène à l’entreprise, elle peut également venir de l’intérieur. Il convient donc de traiter ce sujet comme étant une brique du risque lié au système d’information dans son ensemble ; celui-ci englobant plus largement la sensibilisation des collaborateurs, la protection physique des sites ou encore la protection des infrastructures. De plus, le risque cyber ne vient qu’étoffer la liste des risques déjà existants. C’est pourquoi il convient de trouver le bon équilibre et d’apporter une réponse solide, simple et efficace, comme pour tous les autres risques de l’entreprise, sans se focaliser exclusivement sur la menace d’une cyberattaque.
[i] Etude Fraude 2017 Euler Hermes et DFCG