Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 
 


              

Cyber-risque : votre entreprise peut-elle faire face ?


Thierry Masurel, Directeur Général de FM Global, Opérations de Paris.




Thierry Masurel
Thierry Masurel
Avant 2005, il arrivait que l’on conjecture sur les conséquences d’un éventuel ouragan majeur s’abattant sur La Nouvelle-Orléans. Des conversations purement théoriques jusqu’à ce que Katrina nous rappelle brutalement à la réalité.

Cette candeur d’avant la catastrophe se retrouve aujourd’hui dans notre attitude à l’égard de la cyber-sécurité. Jusqu’à présent, les violations de données subies par des entreprises américaines n’ont été que de petites tempêtes relativement inoffensives. La plupart d’entre nous n’avons pas encore connu notre cyber-Katrina.

Un chiffre peut-être pour prendre conscience de ce que cela représente. Entre 2013 et 2014, dans le monde, les attaques ont augmenté de 49%, ce qui représente 1 milliard d’enregistrements de données volées (source: Breach Level Index 2014, Gemalto). Sommes-nous vraiment prêts à faire face à des attaques plus massives et plus destructrices? Avons-nous même identifié tous les risques? Un grand nombre semblent évidents, mais combien d’autres sont cachés? Pour les directeurs financiers, les risques liés à la cyber-sécurité sont comparables à un iceberg.

Au-dessus de la surface de l’eau, les problématiques visibles : hackers, programmes malveillants et vols de données stratégiques. Selon le dernier rapport de Symantec (Internet Security Threat Report), la France occupe le 6ème rang mondial sur le classement des attaques réseaux et le 4ème sur celles par hameçonnage (Fishing). Dans 60% des cas, les attaques visent des grandes entreprises.

La plupart des responsables d’entreprise ont identifié ces risques et mettent en place stratégies et ressources pour corriger autant que possible ces vulnérabilités. Ils ont pris en compte les enjeux soulevés par leurs conseils d’administration et se sont réunis avec leurs directeurs informatiques pour consolider technologies et bonnes pratiques liées aux mots de passe, par exemple, et instructions d’utilisation des courriers électroniques. Dans l’ensemble, les employés sont aujourd’hui suffisamment informés pour ne pas cliquer sur un lien étrange envoyé par un expéditeur suspect.

Si tout semble être mis en œuvre pour que les entreprises elles-mêmes soient mieux protégées des attaques, on constate que les fragilités se sont déplacées à leurs frontières. Frontières poreuses s’il en est tant nos écosystèmes économiques et industriels sont fondés sur un nombre croissant d’interdépendances. Dans les profondeurs troubles, des dangers guettent, qui pourraient faire couler le navire: fournisseurs, partenaires, systèmes, acteurs internes et trous de garantie. Pour protéger efficacement sa société, un directeur financier doit donc l’amener à dresser un bilan complet de ses vulnérabilités.

Fournisseurs — Même si vous avez mis votre entreprise à l’abri des cyber-menaces, elle reste exposée par le biais de vos partenaires. Prenons l’exemple d’un fabricant: si l’un de ses fournisseurs stratégiques subit une attaque qui perturbe ses activités, les opérations du fabricant peuvent aussi être touchées. Dans ce sens, une cyberattaque est comparable aux inondations qui ont dévasté la Thaïlande et déstabilisé le secteur des hautes technologies en 2011: seules les sociétés dotées d’une chaîne d’approvisionnement résiliente ont pu tirer leur épingle du jeu.

Une rupture de chaîne d’approvisionnement n’est pas de votre fait? Vous ne serez pas pour autant épargné par ses répercussions. Les dirigeants d’entreprise les plus avisés s’attachent à réduire les risques à tous les niveaux de leur chaîne d’approvisionnement, pour pouvoir traverser sans heurt d’éventuelles perturbations ou retomber sur leurs pieds plus vite que leurs concurrents. Une stratégie payante pour ces entreprises, puisque leur réputation croît en période de crise, tout comme leur part de marché, leur chiffre d’affaires et leur valeur boursière, tandis que les sociétés mal préparées connaîtront un sort exactement contraire. Soyez proactif en termes de gestion des risques afin de vous assurer de la résilience de vos partenaires et fournisseurs et de contrôler leurs certifications de cyber-sécurité.

Partenaires — Même si votre chaîne d’approvisionnement semble sûre, vos partenaires du secteur des services représentent aussi des points de vulnérabilité. Si des hackers attaquent votre banque pour vider vos comptes ou s’emparer d’informations confidentielles, quelles seront les conséquences pour votre entreprise? Dans son dernier rapport (Internet Security Threat Report), le constat de Symantec va dans ce sens : « Plutôt que d’infecter un réseau, ils [les cyber-pirates] choisissent de s’introduire dans l’écosystème, en pénétrant chez les fournisseurs ou les clients. »

Mais au-delà de ces risques, les entreprises sont aussi confrontées à des menaces plus larges :

Menaces systémiques — Les vols de données font peur, quand on sait qu’une société peut perdre le nom de ses clients, des informations financières, des droits de propriété intellectuelle ou encore des données personnelles relatives à la santé. Ce qui est encore inédit, c’est le spectre du cyber-terrorisme ciblé sur les biens et équipements. Et si un hacker prenait le contrôle du réseau électrique national, d’une usine de traitement des eaux ou d’un haut fourneau?

Menaces internes — Les pare-feux nous ont longtemps protégés des individus mal intentionnés. Aujourd’hui, force est de constater qu’ils réussiront à entrer dans vos systèmes, en utilisant des techniques de fishing ou en travaillant pour vous. Que faire dès lors que le ver est dans le fruit?

Tout comme un plan inondation présume que le site concerné sera un jour envahi par l’eau et comme un exercice incendie suppose qu’un feu pourrait se déclarer à tout moment, les directeurs financiers doivent s’assurer que leur entreprise a mis en place des plans d’action qui vont bien au-delà de la simple prévention des cyber-attaques. L’objectif est de les détecter, de les endiguer et de les éliminer afin que l’activité puisse reprendre en toute sécurité.

Selon l’étude du Ponemon Institute menée pour HP, le coût des attaques en France a augmenté en moyenne de 20,5% sur un an, pour s’établir à 4,8 millions d’euros. Selon la taille de l’entreprise et l’ampleur de l’attaque, le coût peut monter à près de 19 millions d’euros. Si elles sont plus coûteuses dans leur impact immédiat, elles sont aussi plus longues à réparer. Et qui dit réparation plus longue, dit coût qui augmente lui aussi avec une hausse de 200% entre 2013 et 2014! Des chiffres qui invitent à regarder de plus près sa police d’assurance…

Trous de garantie — Les garanties cyber-risques proposées par les assureurs varient considérablement, tout comme les primes et les exclusions. Une garantie responsabilité civile pourrait ne pas suffire. La solution ? Opter pour un contrat qui :
• définit les données comme un bien, et non comme un élément immatériel;
• couvre les interruptions de production et les carences de service causées par un programme malveillant, même si ce programme est introduit sur un site tiers;
• assure les dommages matériels, par exemple lorsqu’un programme malveillant entraîne le dysfonctionnement d’un équipement et provoque un incendie;
• couvre les attaques par déni de service.

Gardons cependant à l’esprit que les risques liés à la cyber-sécurité ne cessent d’évoluer. Nous n’avons pas encore conscience des multiples manières dont une cyber-attaque pourrait dévaster une entreprise, encore moins de ses effets potentiels à l’échelle d’une communauté ou d’un pays.

Au sein des grandes entreprises internationales, un grand nombre de procédures de gestion des cyber-risques reposent sur une expérience limitée aux attaques passées. Mais nous n’avons encore rien vu. Car, parmi les incidents qui surviendront inévitablement, certains n’ont encore jamais été imaginés ou vécus par aucun directeur financier. Nous serons alors confrontés à de nouvelles façons, toujours plus néfastes, d’affecter nos données, nos systèmes et nos infrastructures.

La seule question à se poser est désormais: êtes-vous prêt à faire face ?

Les médias du groupe Finyear

Lisez gratuitement :

Le quotidien Finyear :
- Finyear Quotidien

La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.

Les 5 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- Le Capital Investisseur

Le magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres


Lundi 5 Octobre 2015
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs




Blockchain Daily News