Brigitte Bouquot (présidente de l'AMRAE) : « le risque numérique n'est pas un risque technique mais un risque d'entreprise »

Lors du forum européen de la Ferma (fédération européenne des associations de gestionnaires de risques) à Berlin le 19 Novembre 2019, l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) a présenté en plénière d'ouverture le livre blanc conçu avec l'ANSSI (Agence nationale de la sécurité des systèmes d'information) : Maîtrise du risque numérique : l'atout confiance. « L'AMRAE travaille depuis toujours sur le risque informatique mais la transformation numérique, l'IoT et l'IA amènent un changement de dimension, l'informatique n'est plus une utilité mais un élément stratégique » a ainsi pointé Brigitte Bouquot, présidente de l'AMRAE, lors d'un point presse de bilan, le 22 Novembre 2019.

Historiquement, l'AMRAE s'est trouvée impliquée très tôt sur la cyber-sécurité puis sur les cyber-assurances, sujet provenant initialement des Etats-Unis. L'association des gestionnaires de risques a donc voulu se rapprocher de l'agence en charge de la cybersécurité pour établir un état de l'art du sujet, une doctrine partagée. AMRAE et ANSSI travaillent cependant ensemble depuis des années.

Un enjeu business majeur

« Le risque numérique n'est pas un risque technique mais un risque d'entreprise » a souligné Brigitte Bouquot. Certes, il y a une dimension technique au risque informatique. Mais c'est surtout un risque stratégique car le numérique est le fondement des produits et des services, actuels et futurs. Pire, le cyber-risque peut devenir un risque systémique : si un crash bloque une entreprise, c'est toute la chaîne de valeur, en amont (fournisseurs) et en aval (clients), qui peut se retrouver bloquée. Brigitte Bouquot a insisté : « on ne peut pas foncer et gérer après coup les risques mais il faut embarquer la préoccupation de la pérennité dès la conception ».

« Les sinistres indemnisés par les assurances liés aux cyber-attaques se sont accrus de 30 % sur un an » a indiqué Philippe Cotelle, administrateur et président de la commission Système d'Information de l'AMRAE. Cette croissance s'explique bien sûr par la croissance du nombre d'attaques mais aussi par celui du nombre d'entreprises assurées. 70 % des attaques ont des motivations criminelles : 40 % pour des gains financiers directs, 30 % pour du vol de données. Il y a notamment une recrudescence d'attaques à base de ransomwares. Avant, ceux-ci étaient associés à des demandes de rançon de quelques milliers d'euros. Désormais, les montants réclamés via des virus personnalisés peuvent se chiffrer en millions d'euros.

Les sous-traitants, points de fragilité

Philippe Cotelle a soupiré : « aujourd'hui, il faut en moyenne 167 jours pour découvrir une pénétration et 6 semaines au moins pour un retour à la normale après une attaque. » Les criminels vont évidement au plus facile et au plus symbolique : les PME, les hôpitaux... Paralyser un hôpital est très impactant et les établissements de santé sont en général assez vulnérables. Le phénomène vient des Etats-Unis où les montants financiers versés pouvaient être considérables. Quant aux PME, elles n'ont pas conscience d'être des cibles fragiles et donc parfaites car leur défaillance peut atteindre de grands groupes par répercussion. Philippe Cotelle a insisté : « les grandes entreprises doivent intégrer dans leurs risques propres les risques pouvant affecter les PME sous-traitantes car les attaques peuvent bloquer toute la chaîne de valeur. »

Le guide conçu en commun par l'AMRAE et l'ANSSI se veut être « une première coordination entre la préoccupation de cybersécurité et la dimension stratégique de gestion des risques » selon le mot de Philippe Cotelle. Il cible certes les RSSI et les DSI mais surtout les dirigeants d'entreprises, notamment de PME. Il vise à créer des éléments de langage communs entre les experts en cybersécurité et ceux en gestion des risques. Il faut en effet coordonner des méthodes, des moyens techniques et des ressources organisationnelles. Et la première étape est forcément celle de la prise de conscience. Ce n'est qu'en un second temps qu'une réponse peut être apportée, avec des aspects aussi bien techniques qu'assurantiels.

Comme le risque environnemental, le cyber-risque est un risque transverse à toute l'entreprise. Pour Brigitte Bouquot, « un bon pilotage des risques est un élément de valorisation de l'entreprise car en faisant un partenaire de confiance, aussi bien vis-à-vis des clients que des fournisseurs. » Et, demain, être un partenaire de confiance sera sans doute obligatoire pour entamer une relation commerciale.