Le risque cyber : le nouveau risque prioritaire en entreprise ?
Tous les jours, nous pouvons voir des exemples concrets de piratage, vol de données, défaçage (détournement) de site internet ou blocage via des attaques DDOS. Un simple clic sur la carte en temps réel de Norse Corp permet de constater que cette menace est bien réelle. Mais faut-il pour autant se focaliser uniquement sur ce nouveau risque ?
Anticiper l’impact du risque cyber
Les risk managers doivent prendre en compte que le risque cyber peut impacter une chaîne de production mais représente un des risques de l’entreprise, et non pas le seul et unique.
Pour la gestion des risques, celui-ci est un événement aléatoire qui peut impacter une entité et lui empêcher d’atteindre ses objectifs. Il est donc primordial pour une entreprise de protéger les ressources vitales qui assurent son bon fonctionnement :
– Les collaborateurs de l’entreprise,
– Les ressources techniques et les actifs de l’entreprise,
– Les Ressources tiers (fournisseurs, partenaires, …),
– Les processus internes,
– Les informations,
– Les ressources financières.
Ne pas seulement se focaliser sur ce risque
Le risque cyber peut impacter une partie des ressources qui assurent le bon déroulement de l’entreprise mais pas l’ensemble d’une entité. Effectivement, les données représentent la ressource la plus impactée lors d’une cyberattaque, puisqu’elles peuvent être corrompues. Il peut également y avoir des impacts indirects sur les ressources financières (qui sont généralement la cible des cybers attaquants) ou sur les ressources techniques ; il reste rare que les ressources humaines ou que les processus internes soient les cibles des cyber attaques mais n’oublions pas que ces derniers restent des espaces de vulnérabilités.
Un des enjeux des risk managers est donc de bien mesurer cette menace et de le positionner convenablement dans l’univers des risques de l’entreprise. Il est évident qu’une entité dont le business model dépend fortement d’internet ou du monde numérique classifiera ce risque comme majeur pour l’entreprise, et inversement pour les entreprises ne dépendant pas totalement du web.
Bien évidemment, à l’heure où toutes les entreprises renforcent leur dépendance vis-à-vis du monde numérique, la perception de ce risque ne peut qu’augmenter. Cependant cette transition digitale ne doit pas nous faire focaliser sur celui-ci exclusivement, au détriment de la protection des autres ressources de l’entreprise. Il faut donc voir cette menace comme un nouveau risque émergent, mais qui ne remet pas en cause les cartographies déjà existantes. La cyber menace ne fait que compléter cette cartographie.
Et comme tout risque, les décisionnaires doivent apporter une réponse adaptée et cohérente avec la stratégie de l’entreprise, pour en assurer la maitrise. La principale préoccupation dans ces actions à mener réside dans la capacité de l’entreprise à maintenir son activité opérationnelle. Cela peut se traduire par une certification ISO27001 ou la simple mise en place de règles ou de solutions techniques liées à la sécurité sur les systèmes d’information.
Le risque cyber est bien présent et vient compléter les risques déjà existant. Cette nouvelle menace n’est pas qu’exogène à l’entreprise mais peut également venir de l’intérieur. C’est pourquoi il faut porter une réponse solide, simple et efficace, comme pour toutes les autres menaces de l’entreprise, sans se focaliser exclusivement sur le cyber risque.