Il y a déjà quelques années que les Risk Managers (RM) s’intéressent aux risques cyber. Mais 2019 marquera sans doute un tournant dans la prise en considération de ce sujet. Lors des Rencontres de l’AMRAE, la grand-messe de la profession qui s’est déroulée début février à Deauville, la plupart des débats, conférences et ateliers ont évoqué le cyber. A commencer par la Présidente de l’AMRAE, Brigitte Bouquot qui lors de son discours d’ouverture a repris les propos de Guillaume Poupard (le Directeur Général de l’ANSSI) évoquant il y a quelques mois la probabilité « d’attaques Cyber à la Pearl Harbour ». Ce risque cyber ne peut «pas être traité par de la conformité juridique » a souligné Brigitte Bouquot mais par un arsenal complet au premier rang duquel figure la méthode Ebios Risk Manager annoncée par le DG de l’ANSSI lors des Assises de la Sécurité (voir la vidéo). Les deux organisations travaillent d’ailleurs de concert pour coupler les étapes de la régulation proposées par l’ANSSI avec les étapes du Risk Management formulées par l’AMRAE. Une approche commune qui doit permettre aux deux cibles de se comprendre mutuellement.
A chaque crise, les assureurs affinent leurs modèles
L’ensemble de l’écosystème du Risk Management voit aujourd’hui le sujet monter en puissance. Une récente enquête menée par la Fédération Française de l’Assurance a montré que pour les assureurs hexagonaux, les risques cyber étaient considérés comme le premier risque majeur à court terme (voir l'enquête). Face à cet environnement, les Risk Managers mais également les assureurs/réassureurs et courtiers sont-ils parés ? Pas totalement si l’on en croit les différents échanges : «le risque cyber, on ne le connait pas encore. A chaque sinistre, nous affinons nos modèles » a reconnu Fabrice Domange, le CEO de Marsh France, le premier courtier mondial. Tandis que pour Thomas Buberl le directeur Général d’AXA, si le marché parle beaucoup du risque technologique, il n’a « pas encore vraiment pris conscience de son ampleur ». A la décharge des professionnels, le sujet est complexe, technique, avec des ramifications complexes et pour les assureurs, il présente « toutes les caractéristiques pour générer des cumuls de risque à haute intensité » a rappelé Didier Parsoire Chief Underwriting Officer, Cyber Solutions du réassureur Scor. C’est pourquoi, les entreprises et leurs RM doivent impérativement se mobiliser et se mettre en ordre de bataille car « le vrai mur de la honte pour une entreprise ce n’est pas l’attaque cyber, c’est le fait de ne pas être préparée à cette crise » martèle Philippe Cotelle, Risk Manager Airbus Defence and Space et administrateur de l’AMRAE. Cela passe avant tout par la mise en place d’une gouvernance dédiée à la cybersécurité où le RSSI a sa place au même niveau que le directeur financier, le DPO et le directeur de la compliance. Alors RSSI et RM, même combat ? En tout cas, l’impérieuse nécessité de dialoguer et d’avoir le même langage.
