La menace d’une cyber-attaque est dorénavant une réalité concrète dans le monde de l’entreprise. Les mesures d’atténuation de ces risques passent par la mise en œuvre de contrôles et de mesures organisationnelles mais également par une maitrise de ces processus. Revue de détail.

Le cyber-risque fait partie de notre quotidien. Pour y faire face, deux attitudes sont envisagées : soit je décide de verrouiller mon système d’information et d’interdire l’accès à des pages de type Facebook ou autre… au risque d’avoir un impact sur mon business et de restreindre mes opportunités de développement. Soit je décide de faire face à ce risque, même si je ne le maitrise pas aujourd’hui, mais en adoptant un comportement en adéquation avec notre ère.

Ce n’est pas parce que les nouvelles technologies évoluent plus que vite que nous ne devons pas les utiliser. Mais c’est plutôt à nous de nous organiser, d’investir, de faire évoluer nos processus et nos outils de manière à être en capacité de sécuriser notre environnement et garantir une continuité de notre activité de manière saine et prudente.

Etant donné que les cyber-attaques sont de plus en plus efficaces, via l’utilisation des nouvelles technologies et une connaissance fine des cibles, comme par exemple l’organisation des entreprises victimes, il est primordial de faire évoluer nos mentalités, nos comportements et notre approche par les risques.

Les cyber-risques, pour être maitrisés, nécessitent une approche dans l’analyse et le traitement des risques selon trois composantes :

  • une approche par les processus,
  • une organisation et une gouvernance adéquate,
  • une sécurité́ du système d’information.

La cybersécurité est composée de contrôles et mesures visant à prévenir, détecter et résoudre toute activité́ malveillante visant des éléments du système d’information et pouvant avoir un impact négatif sur la confidentialité, l’intégrité, la disponibilité et la traçabilité des données et des systèmes.

C’est la raison pour laquelle les mesures d’atténuation des cyber-risques passent par la mise en œuvre de contrôles et de mesures organisationnelles mais également par une maitrise de ces processus.

Une approche par les processus

Un des moyens de limiter ou contrer le cyber-risque est d’optimiser ses processus. On peut même parler d’efficacité opérationnelle, voire de qualité.

C’est cette même notion de « qualité » qui était souvent abordée dans la mise en place du risque opérationnel sous Solvabilité II afin de faire adhérer plus facilement les métiers à la démarche, par l’angle positif et dynamique de la « qualité » et celui non restrictif et contraignant du « contrôle ».

L’étude du processus nécessite d’analyser chacune des étapes, d’identifier l’ensemble des contributeurs, de définir les contrôles et d’en mesurer leur efficacité.

Bien souvent, le cyber-risque est automatiquement associé à des risques informatiques et donc géré et déployé uniquement par les directions informatiques. Or, le cadre qui doit être dressé doit être intégré au cadre général en vigueur pour le risque opérationnel par le biais de l’analyse des processus.

 

schema1

Il s’agit donc non pas de déresponsabiliser la direction informatique, mais d’intégrer d’autres acteurs tels que le contrôle interne ou la gestion des risques, venus compléter le dispositif de détection, de lanceur d’alerte et de traitement. Tous ces acteurs de la mesure du risque qualitatif viennent compléter la vision risque et ainsi couvrir tous les évènements de risque.

Lors de cette analyse des processus, il est primordial de confronter les deux approches Bottom Up et Top Down pour obtenir in fine une cartographie compréhensible, opérationnelle et partagée par toutes les strates de l’entreprise.

Une organisation et une gouvernance adéquate

Selon une étude récente réalisée par le Harvard Business Review, seulement 39 % des sondés disent disposer d’une organisation leur permettant de répondre à une cyber-attaque.

En conséquence, peu d’organisations parviennent à une maturité́ en termes de cybersécurité, ce qui implique de former tous les niveaux de l’entreprise afin d’être en mesure de détecter et de répondre aux risques d’attaques et d’établir un plan stratégique spécifique aux cyber-risques.

Pour cela, il est important d’intégrer la notion de cybersécurité dans la vision stratégique de l’assureur et dans sa définition d’appétence aux risques. Cette évolution de l’organisation se matérialise de la façon suivante :

  • une implication forte du top management,
  • des indicateurs de pilotage destinés aux instances dirigeantes,
  • une anticipation et un alignement de la stratégie SI et sécurité́ du SI avec la stratégie métier.

 

Une implication forte du top management

Etant donné les enjeux et conséquences que peut avoir une cyber-attaque d’un point de vue financier pour l’assureur ou de confiance pour l’assuré, cela paraît impossible pour les instances dirigeantes de se désintéresser du problème. Or, bien souvent, les dirigeants privilégient l’aspect business et mettent de côté les aspects IT et sécurité́ IT que ce soit pour des raisons culturelles ou de technicité́.

Faire évoluer le plan stratégique pour faire face aux enjeux du risque cyber

Il s’agit d’impliquer le top management dans les décisions relatives aux systèmes d’information et à la maîtrise des risques informatiques. Mais également de comprendre et maîtriser son environnement applicatif afin d’anticiper les enjeux et être en mesure de le faire évoluer en temps voulu face éventuellement à de futures attaques.

Faire face aux enjeux de l’intelligence artificielle et de la gestion des données

Une mauvaise anticipation ou perception des enjeux liés à l’évolution de l’intelligence artificielle ou de la gestion des données peut conduire à faire de mauvais choix dans l’urgence ou à essayer de rattraper ce qui est trop tard.

Tout ceci montre l’importance du lien entre la prise de décision SI (y compris sécurité du SI), le métier et les instances dirigeantes. D’où la nécessité de mettre en place des indicateurs pertinents qui parlent au top management.

Des indicateurs de pilotage destinés aux instances dirigeantes

Bien souvent chez les assureurs, les directions des systèmes d’information exercent un pilotage trop éloigné de la direction générale. Cela se traduit par l’absence de reporting d’indicateurs de qualité, adaptés à leur langage et répondant surtout à leurs besoins. Il s’agit de définir des indicateurs pertinents au regard de la stratégie définie mais également des risques majeurs identifiés.

Pour cela, la DSI ainsi que la sécurité́ des SI doit apporter de la visibilité, par exemple dans le suivi des plannings de grands programmes de transformation de l’entreprise, afin de répondre à des notions d’efficacité, de qualité, de pilotage et bien sûr de sécurité.

Mais ces indicateurs doivent également continuer à alimenter le top management une fois les projets aboutis dans la perspective de piloter et contrôler le bon fonctionnement des processus et outils.

Une anticipation et un alignement de la stratégie SI et sécurité du SI avec la stratégie métier

Or, selon l’étude du Harvard Business Review, seul 23 % des sondés ont adopté un plan stratégique formel pour répondre aux risques de cyber-attaques.

Les entreprises ont mis en place en règle générale des politiques pour répondre aux cyber-attaques, mais aucun plan stratégique pour les traiter de manière proactive.

Or, l’évolution permanente des nouvelles technologies, l’importante masse de données clients traitées et stockées par les assureurs dans leurs SI amènent de nouveaux risques et obligent à faire évoluer et anticiper la stratégie informatique en matière de cybersécurité.

Les principales raisons de cette intégration des cyber-risques dans la stratégie globale de l’assureur sont de gagner (ou de garder) la confiance de l’assuré et d’être compétitif face à la concurrence.

Anticipation et proactivité

Il est bien connu que les hackers ont toujours une longueur d’avance sur les systèmes de contrôle. C’est la raison pour laquelle, bien que les évolutions SI et de sécurité mettent des mois voire des années pour être développées, le responsable SI doit s’intégrer aux objectifs stratégiques de l’entreprise et aux processus de décision. Ceci de manière à anticiper au maximum les menaces et l’évolution des risques.

La sécurité du système d’information

La première faille dans le dispositif de sécurité est souvent liée à la non mise à jour par les entreprises des dernières versions afin de bénéficier des correctifs de sécurité. Car les cyber-attaques exploitent en premier des failles de sécurité sur les logiciels.

La cybersécurité doit anticiper les mesures de protection en mettant en place des outils de détection qui vont permettre de détecter et bloquer des intrusions dans le SI. Ce travail de détection consiste tout d’abord à collecter et analyser les opérations puis à détecter des comportements anormaux.

Aujourd’hui, certaines entreprises pratiquent le « bug bounty » pour se protéger des cyber-attaques. Cela consiste à faire appel à une communauté de « hackers » chercheurs pour détecter les failles informatiques dans le système de l’entreprise. Ces bug bounty visent principalement les systèmes ouverts à l’extérieur. Ces actions sont aujourd’hui les meilleurs moyens pour trouver et anticiper des réactions aux attaques.

Mais aucune de ces méthodes de détection et de prévention ne permettra à l’entreprise de se dédouaner de la mise en place des procédures de gestion de crise adaptées aux différents scénarios de cyber-attaques.

Scenarios de test

Pour une évaluation complète des risques, l’organisation devrait évaluer la valeur financière de son exposition à des scénarios cyber catastrophiques. La quantification de l’impact de ces scénarios devrait inclure toutes les conséquences potentielles pour l’organisation de revenir au « business as usual ». Mais c’est un processus difficile et complexe.

Ces scénarios devraient être coordonnés par la fonction de gestion des risques et développés en collaboration avec les autres directions métier et la direction générale. Tenter de gérer le cyber-risque seul peut mettre en péril l’efficacité́ du dispositif de gestion des risques face aux menaces.

L’expertise en cybersécurité est nécessaire pour articuler les scénarios les plus plausibles, basés non seulement sur leur faisabilité technique mais aussi sur les cibles les plus probables. La DSI doit analyser les faiblesses potentielles qui pourraient rendre de telles attaques réussies.

schema3

Une bonne évaluation des risques donne aux directions métier et fonctions support les moyens de hiérarchiser et choisir les mesures et techniques d’atténuation ainsi que d’allouer les ressources suffisantes pour protéger leur environnement de travail.

Une part importante des organisations ne dispose pas d’un cadre structurel leur permettant de détecter les vulnérabilités en matière de cybersécurité et de les traiter de manière proactive. Or, la nature en constante évolution des cyber-menaces et l’interconnexion toujours plus profonde entre leurs systèmes et ceux des tiers représentent un défi majeur, même pour les organisations qui ont intégré le cyber-risque dans leurs visions stratégiques et de tolérance au risque.

 

Des autorités qui portent un regard exigeant et qui n’hésitent pas à sanctionner

Les cyber-menaces génèrent des risques juridiques et règlementaires. À mesure que ces risques deviennent plus fréquents, les gouvernements et les autorités de contrôle supranationaux mettent la pression pour faire appliquer des normes visant à les réduire, le plus récent exemple étant le règlement général sur la protection des données de l’Union européenne (RGPD). Nous pouvons d’ores et déjà constater que la Cnil n’hésite pas sanctionner ceux et celles qui ne s’avèrent pas assez rigoureux dans la mise en place d’un dispositif robuste visant à protéger les données qu’ils abritent face aux potentielles menaces en provenance de l’extérieur.

De plus, l’ACPR invite les assureurs à redoubler d’efforts en termes de cybersécurité car elle constate aujourd’hui que les budgets qui sont alloués spécifiquement à la cybersécurité sont rares et bien souvent trop faibles.

 

Capitaliser sur l’IA pour fluidifier et sécuriser les processus liés au parcours client

Il s’agit maintenant d’accélérer la transformation digitale notamment au niveau du ou des parcours client, en mettant l’accent sur la sécurisation de ces parcours. De même, pour adapter les solutions de cybersécurité aux nouvelles pratiques digitales, il faut simplifier et fluidifier les processus en prenant en compte leur sécurisation.