Actualités

Les entreprises peinent à appréhender la nature du risque et ses effets réputationnels

risque

Déterminer la nature du risque, savoir jusqu’où il faut protéger les systèmes d’information, intégrer les contraintes réglementaires, prévoir les incidences juridiques ou même de perte d’image des entreprises… La maîtrise du risque c’est tout ça et bien d’autres choses encore.

Au point que le foisonnement des paramètres à prendre en compte risque de provoquer brouillage et confusion. Plusieurs experts venant d’univers complémentaires (banque, assurance, conseil…) ont planché sur le sujet de l’anticipation de la gestion de crise. Un exercice complexe mais nécessaire.

Un responsable de la sécurité des SI chez les Banques Populaires, apportant le point de vue d’un opérationnel; un ingénieur sécurité des SI pour avoir le point de vue d’une société d’assurance; un risk manager et directeur de l’assurance interne; un avocat à la Cour de Paris, pour sa vision juridique; et enfin un consultant en gestion de crise pour son avis d’expert. L’objectif : débattre de l’utilité de la sécurité et de sa place par rapport à une culture du risque. Bref, un plateau d’experts pour plancher sur la notion de risque, sujet transversal s’il en est.

L’expert en gestion de crise répond d’emblée que le risque est intégré dans l’univers bancaire depuis toujours. Il est au coeur même de sa culture. La mission du RSSI est de connaître les risques, les évaluer pour prendre ensuite les décisions qui s’imposent sur le niveau de sécurité à adopter en fonction du degré de risque souhaité. Aujourd’hui, en France, les grands comptes comme les PME prennent réellement conscience du risque et de ce qu’il implique économiquement et réputationnelllement.

La réputation de l’entreprise justifie les stratégies de sécurité

Le danger majeur actuel pour les banques tient plus aux dommages liés à l’image qu’à la mise en péril des systèmes d’information eux-mêmes. Malgré le nombre croissant d’attaques en tous genres (virus, chevaux de Troie, phishing, pharming…), il existe aujourd’hui beaucoup d’outils technologiques capables d’y parer mais les séquelles liées à l’image sont, quant à elles, plus compliquées à faire disparaître. Elles causent un grave préjudice tant pour les clients qu’en termes financiers. En effet, pour les assurances, le dommage engendré par des événements ‘virtuels’ est difficilement quantifiable.

Néanmoins, nous assistons à une professionnalisation de la chaîne de confiance. A force de nous conditionner par le négatif, nous n’avançons pas. Les initiatives et innovations ne peuvent être générées qu’avec une communication positive. Même si le risque est plus ou moins grand, selon les cas, il est nécessaire de l’appréhender du côté positif car le plus important est de passer à l’action. C’est aujourd’hui l’effort à fournir.

Les assureurs doivent accompagner l’anticipation de la gestion des risques

Le rôle de l’assurance doit lui aussi évoluer dans ce sens pour donner la possibilité aux entreprises de prendre de nouveaux risques. Pour cela, elle doit commencer par en prendre elle-même ! L’objectif de l’assureur est de fournir les moyens à l’entreprise de poursuivre son activité.

Nous ne disposons pas de statistiques sur les dommages et leurs répercussions sont difficilement quantifiables car chaque SI est différent. Il faut donc d’une part, aider l’entreprise à repartir en dédommageant les dégâts sur l’image et d’autre part, celle-ci doit gérer les risques encourus par son SI de manière à aider l’assureur à évaluer les pertes en cas de problème.

Un dialogue s’instaure alors entre le risk manager et le RSSI pour élaborer une estimation financière des impacts qui seraient causés par toutes sortes d’attaques (piratage, fraude, phishing…). Ils définissent un accord consensuel sur un capital assurance pour atteinte à l’image. De notre côté, nous avons également derrière nous des réassureurs qui nous couvrent déjà sur certains contrats comme par exemple sur les assurances virus. Le coût du préjudice causé notamment par une divulgation d’information stratégique ou une fuite de données doit être déterminé précisément pour pouvoir être assuré correctement.

Le risk manager arbitre les plans d’action prévention/protection et couverture par l’assurance

Le risk manager, de son côté, veille à maintenir l’intégrité et la valeur des actifs de l’entreprise. C’est la plupart du temps, la direction générale qui endosse ce rôle pour aider les divers responsables de l’entreprise à canaliser le risque et éviter ainsi les aléas pouvant ainsi en découler. Il a une vision à la fois globale et précise des différents métiers au sein de son organisation pour être en mesure de la maintenir ou de la relancer en cas de problème. Les risques liés au SI font partie intégrante des questions à gérer par le risk manager car il est au coeur même de l’activité.

Le RSSI n’a souvent pas la notion de l’impact des risques en termes de coûts. L’assureur, quant à lui, n’intervient que pour rembourser les dégâts déjà survenus.

La complexité des risques liés au SI nécessite une analyse suffisamment précise par le RSSI. Ce dernier doit ensuite aider le risk manager à planifier la couverture du risque opérationnel (dommage, fraude, piratage, gestion de crise, plan de secours…). Le triptyque ainsi formé par le risk manager, le RSSI et l’assureur peut alors favoriser une nouvelle culture du risque et de la sécurité au service de la compétitivité. Par conséquent, il ne faut pas chercher à tourner le dos au risque mais faire plutôt un bilan coût/avantage en terme de précautions à prendre ou pas.

Pour bien peser les risques, l’équation investissement sécurité/coût de la fraude est indispensable. Les métiers qui ont besoin de sécurité doivent être identifiés. Il est plus facile de sécuriser l’infrastructure que le risque lié à un métier. Les directions générales ont intérêt à poursuivre leur effort de rapprochement vers les divers métiers de l’entreprise pour gérer plus efficacement les problèmes et donc la sécurité. Pour les banques qui sont de plus en plus exposées au phishing, la notion de confiance entre assureur et assuré est primordiale.

Intégrer les questions juridiques en amont pour mieux anticiper les risques

Le droit agit, lui, comme un outil visant à réduire les incertitudes. Il ne fournit pas de certitudes car c’est l’homme qui est au centre de l’équation. C’est lui qui édicte et applique les règles. Il juge, prend des décisions. Il donne une vérité qui reste relative. La sécurité du point de vue juridique propose des principes généraux et non pas des applications spécifiques.

L’incertitude est un état stable du monde et le droit est là pour encadrer le risque par des procédures: chartes, alertes pénales en cas d’attaques… Il gère l’incertain. Il n’intervient qu’avant ou après un accident mais jamais pendant. Moment où il reste impuissant. Pour optimiser la vision positive du droit et en faire un pôle de compétitivité et non de répréhension, il est plus judicieux d’intégrer les juristes en amont pour mieux anticiper les dégâts.

L’estimation des dangers potentiels, toujours plus en amont des risques, est un leitmotiv sans cesse rebattu. Elle s’affine en fonction des évolutions technologiques, des capacités d’innovation, de différenciation et de rupture qui tissent la compétitivité d’aujourd’hui.

La sécurité est plus proche des métiers. Le RSSI n’avait pas toujours la bonne information sur ces derniers, conséquence parfois d’une sécurité mal maîtrisée. La culture du risque semble devoir évoluer, voire être réinventée mais sans négliger la sécurité. Une équation plus facile à résoudre dans les mots que dans les actes !