Un grand pas pour la gestion du « cyber-risque » par les entreprises

Un grand pas pour la gestion du « cyber-risque » par les entreprises

Parallèlement au règlement européen sur la protection des données, une directive Sécurité des réseaux et des systèmes d’information est en voie de transposition.

La protection du citoyen numérique occupe le devant de la scène depuis plusieurs mois avec le règlement européen sur la protection des données, dit RGPD. Quand la numérisation est le moteur de la croissance économique mondiale, il faut également braquer les projecteurs sur un autre texte européen moins connu, la directive sur la sécurité des réseaux et des systèmes d’information (Network and Information Security, NIS).

Cette directive, qui organise la sécurité numérique des Etats membres et des entreprises européennes, est en cours de transposition en France avec la désignation de près de 2 000 opérateurs de services essentiels (OSE) sous le pilotage de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les entreprises de toutes tailles qui conduisent de solides politiques de gestion des risques ont compris que le risque cyber est devenu aujourd’hui un risque d’entreprise, pas simplement un risque technique. Ainsi, elles identifient les scénarios de survenance du risque, elles en modélisent l’impact économique, elles investissent pour organiser la continuité de l’activité et gérer la crise en cas d’attaque, et in fine financer certains impacts résiduels par l’assurance.

Dans notre économie ouverte où le risque cyber ne connaît pas de frontière, le couplage entre la directive NIS et la gestion des risques permettra au tissu économique français d’organiser une indispensable résilience numérique. En Europe, la France a toujours été à la pointe pour assurer la continuité de l’Etat et des grandes entreprises. Dès la Constitution de 1958, l’Etat n’a eu de cesse de se doter d’un cadre législatif et réglementaire pour organiser la résilience de la nation. Avec la notion d’opérateur d’importance vitale (OIV) – ordonnance de décembre 1958, modifiée en 2004 –, « les entreprises sensibles se doivent de coopérer à leur protection ». En 1960, la France est devenue le premier pays à inclure dans sa loi de programmation militaire des règles pour garantir la sécurité physique des installations d’importance vitale et, depuis 2008, leur sécurité numérique. C’est ainsi qu’est créée l’Anssi en 2009, jusqu’à l’ajout en 2013 d’un volet cybersécurité dans la loi de programmation militaire.

DES MESURES INDISPENSABLES
Les OIV, ce sont 230 entreprises dont la liste est gardée secret-défense. Elles ont un devoir de protection et de maintien de leurs systèmes d’information, ainsi qu’un devoir d’information de l’Anssi en cas d’incident. Cette dernière doit les accompagner et les contrôler. Renforcer leur continuité, en investissant et en gérant les risques, c’est aussi maintenir leur compétitivité et leurs emplois et, par la diffusion de ces bonnes pratiques, ceux de leurs clients et de leurs fournisseurs. L’Europe s’est inspirée de ce modèle pour concevoir la directive NIS. Celle-ci a deux vertus. Les entreprises qui seront désignées OSE pourront se prévaloir de mesures de cyber- sécurité étendues dans leur dialogue avec leurs partenaires – clients, fournisseurs et pouvoirs publics. Elles auront également la responsabilité d’identifier dans leur propre chaîne de valeur les interfaces de services essentiels avec leurs sous-traitants. Les exigences de cybersécurité leur seront alors automatiquement répercutées. Puis, par capillarité, elles le seront dans l’ensemble du tissu économique français, majoritairement constitué de PME et d’ETI.
Ces mesures indispensables suffiront-elles à protéger toutes les entre- prises et leurs emplois ? Les OSE pourront-ils entraîner un mouvement général de sécurisation des systèmes métiers en pleine numérisation ? Même si la directive prévoit d’inclure des fournisseurs de service numérique comme les plates-formes de vente en ligne, le flou subsiste, tant elles sont nombreuses.

La sécurité numérique de 2000 entreprises ne constitue pas celle de l’ensemble du tissu économique français. Il nous faut passer de la résilience numérique de quelques-uns à celle de tous. C’est pour notre profession de « risk manager » une opportunité formidable de pouvoir adosser à ces nouveaux standards de cybersécurité les mesures de gouvernance du management des risques cyber ainsi que les couvertures adaptées d’assurance.
Il faut remercier les entreprises qui témoignent aujourd’hui sur les conséquences des attaques dont elles ont été victimes et les enseignements qu’elles en ont tirés en matière d’organisation, de prévention et d’assurance. A chaque fois, le dirigeant est au cœur de cette cybergouvernance. Etre en mesure d’exposer à ses parties prenantes une solide politique de gestion des risques, avec son volet cyber, devient aujourd’hui un facteur différenciant.

Tous les acteurs savent que, malgré les protections, des attaques réussiront et que les impacts financiers seront significatifs et systémiques, c’est pourquoi il faut améliorer la maturité de l’assurance cyber, avec une gestion des risques par filière professionnelle. Dans cette organisation de l’intelligence collective qui est la nôtre, seuls des standards de gestion des risques conçus par les entreprises, industrie par industrie, en y associant leur chaîne d’approvisionnement, feront émerger des schémas viables de transfert du risque, qui permettront aux assureurs d’indemniser en cas de sinistre et ainsi de construire un marché.
Ne soyons pas naïfs, dans cet espace « gris » du monde numérique, les attaques proviennent parfois de puissances étrangères: c’est pourquoi il n’y a pas de résilience de l’Etat sans résilience des entreprises. A l’heure où les indicateurs économiques retrouvent des couleurs, nous avons les moyens de ne pas laisser gonfler une « dette » de sécurité qui risquerait de saper les fondements de cette renaissance. Car si la gestion des risques protège des menaces et des vulnérabilités, elle permet également l’audace en éclairant les décisions pour aller de l’avant.

0 Avis

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

*