Fill form to unlock content
Error - something went wrong!
Accédez aux réflexions
Thank you!
De l’importance du rôle de gestionnaire du risque dans l'atténuation du cyberrisque
Le guide du gestionnaire de risques pour la formation des parties intéressées et la collaboration avec le RSI
Souvent, il revient au responsable de la sécurité de l’information (RSI) et à la direction des TI de s’attaquer aux défis posés par les cyberrisques dans une organisation. Alors que les cyberrisques continuent d’augmenter en gravité et en fréquence, les gestionnaires de risques doivent également participer à la conversation, de manière à créer un partenariat dynamique qui peut réellement contribuer à créer une approche globale pour réduire les cyberrisques d’une entreprise.
En effet, de nombreuses entreprises constatent que la cybersécurité n’est plus seulement un problème technologique qui concerne uniquement les professionnels des TI; le cyberrisque est un risque d’entreprise qui peut toucher tous les aspects de l’organisation, et même ses résultats. Une cyberattaque peut menacer la propriété intellectuelle, les fusions et acquisitions, les régimes de retraite, les cadres supérieurs, et plus encore,1 et a de graves répercussions sur la continuité des activités, la marque et la réputation.
La hausse des cyberpertes - en particulier les pertes liées aux rançongiciels - a entraîné des ratios de pertes record pour les assureurs et un durcissement du marché de l'assurance, avec des taux en hausse et des modalités plus strictes.2 Et comme les risques augmentent et évoluent rapidement, de nombreuses organisations ont encore du travail à faire pour résister à l’examen attentif des assureurs dans un environnement de risque de plus en plus difficile. Souvent, dès qu’une organisation prend des mesures pour renforcer sa stratégie de cybersécurité, un autre défi se pose.
Il est important que les gestionnaires de risque gardent en tête que l’assurance cyberrisques n’est qu’un élément d’une stratégie de cyberrésilience à volets multiples, qui comprend également l’évaluation des cyberrisques, la sensibilisation à la cybersécurité, la quantification des risques et la préparation à l’intervention en cas d’incident3, et que le plan doit être mis à l’essai et tenu à jour pour être efficace. De plus, une gestion efficace des cyberrisques doit venir d’en haut. Cela signifie que les gestionnaires de risques doivent comprendre l’évolution de leur exposition aux cyberrisques et aux risques technologiques et communiquer l’importance de la cyberrésilience à la direction, en collaboration avec le responsable de la sécurité de l’information.
Suivez ces conseils pour mener une conversation efficace et collaborative sur la cybersécurité et, de façon proactive, prendre le contrôle des cyberrisques de votre entreprise :
Dans de nombreuses organisations, les TI sont toujours le principal intervenant en matière de cybersécurité. Les gestionnaires de risques, en tant que professionnels de l’assurance, gèrent le risque et son incidence sur le bilan, tandis que les professionnels des TI sont chargés de protéger l’organisation en atténuant les vulnérabilités de leur réseau sur le plan de la sécurité. Une conversation fructueuse sur les cyberrisques peut combler l’écart; le gestionnaire de risques et le responsable de la sécurité de l’information conjuguent ainsi leurs efforts dans le but de mieux protéger l’entreprise en communiquant avec des cadres supérieurs et un conseil d’administration qui ne sont pas nécessairement cyberfutés.
Les entreprises qui affichent la meilleure cyberrésilience favorisent la collaboration entre les TI et la gestion du risque. Aucun secteur ne peut à lui seul protéger l’entreprise, surtout lorsqu’il s’agit d’un risque aussi omniprésent que le cyberrisque. Les gestionnaires de risques doivent également vendre l’idée, et les coûts élevés, d’une assurance cyberrisques à la direction et au conseil d’administration, et vous devez donc être en mesure de bien comprendre la situation de l’entreprise en matière de cybersécurité ainsi que les problèmes qui pourraient survenir. Le responsable de la sécurité de l’information est le mieux placé pour fournir les détails nécessaires sur la stratégie de cybersécurité, indiquer où se situent les vulnérabilités, et présenter les répercussions d’une atteinte ou d’un autre événement.
La cyberresponsabilité et les risques liés à la propriété intellectuelle font partie des 10 principaux risques d’affaires auxquels font face les entreprises. Toutefois, peu de gens sont conscients des conséquences économiques et juridiques d’une atteinte à la protection des données ou de l’exploitation d’une faille de sécurité informatique à l’échelle internationale.4 Il est particulièrement important de comprendre ces chiffres pour obtenir l’adhésion de la direction, et il est essentiel d’entamer la conversation avec des données.
Pour connaître votre exposition aux cyberrisques et les paramètres connexes, discutez avec le responsable de la sécurité de l’information de tous les scénarios auxquels votre organisation pourrait faire face, y compris la possibilité d’une panne de l’ensemble du réseau. Même devant des enjeux élevés, abordez le cyberrisque avec curiosité, sans peur.
Une étude de quantification des pertes vous aidera à déterminer l’incidence potentielle sur le bilan et la proportion du risque que vous pourriez vouloir transférer au moyen d’une assurance. Étant donné que les tarifs d’assurance ont augmenté, votre budget de cybersécurité ira plus loin si vous dépensez davantage pour quantifier votre risque et former votre personnel afin qu’il puisse repérer et prévenir les attaques potentielles. Les données tirées de la quantification des pertes aideront également le conseil d’administration à comprendre la nécessité d’augmenter le budget de cybersécurité, plutôt que de simplement comparer les montants de garantie à ceux des années passées.
Votre participation à la conversation sur la cybersécurité avec les TI dépendra de votre réseau personnel au sein de l’entreprise. Le fait de poser des questions sur ce que font les différentes divisions pour se protéger contre les cyberrisques peut entraîner des réactions indésirables; abordez donc la conversation avec humilité.
Votre courtier peut animer une analyse des répercussions des cyberrisques dans le cadre d’un atelier réunissant diverses parties prenantes dans une même salle pour discuter de chacun de leurs pires scénarios advenant une atteinte à la cybersécurité. Les différentes parties prenantes envisageront la cybersécurité de différents points de vue, et il est donc probable qu’elles donneront des réponses différentes. Ces données s’additionnent et forment une vue d’ensemble qui vous aidera à comprendre les actifs essentiels du point de vue du bilan. Même s’il peut être difficile d’obtenir du temps avec les leaders, invitez le plus grand nombre possible de parties prenantes, y compris le responsable de la sécurité de l’information, le chef de la direction, le chef des finances, le conseiller juridique en chef, le directeur des communications, le chef de la conformité, le responsable de la protection des renseignements personnels, le chef de la continuité des opérations/reprise après sinistre et le conseil d’administration.
Les gestionnaires de risques et le responsable de la sécurité de l’information ont peu d’occasions de se présenter devant le conseil d’administration, mais cela commence à changer, car de nombreuses organisations cherchent à rehausser les deux rôles. Pour que cela se réalise et que les membres du conseil continuent de voir la valeur de cette approche, il est essentiel de se préparer et de garder la conversation centrée sur leurs priorités. Il est judicieux de consacrer plus de temps à la préparation qu’à la réunion. Votre courtier peut également vous aider à surmonter les objections perçues de la part de vos parties prenantes et à anticiper leurs questions.
Lorsque vient le temps de rencontrer le conseil d’administration pour proposer une assurance cyberrisques et demander un budget, il est essentiel que le responsable de la sécurité de l’information soit présent. Pour avoir de meilleures chances de réussite, ce dernier devra parler le langage du conseil d’administration et utiliser des termes simples. C’est là que vous entrez en scène en tant que collaborateur : vous pouvez parler de façon générale de l’exposition de l’entreprise et de l’élément stratégique, alors que le responsable de la sécurité de l’information peut répondre à des questions précises. Il en va de même pour les conversations avec les souscripteurs d’assurance.
Soyez prêt à présenter les répercussions d’une cyberattaque du point de vue financier ainsi que ses répercussions potentielles sur le bilan. Les calculateurs d’atteinte à la protection des données ne vous fourniront pas de données assez sophistiquées pour les cyberrisques actuels; présentez plutôt les résultats des études de quantification des pertes. Positionnez la cyberprotection de votre organisation comme étant une combinaison de technologies de cybersécurité et d’assurance cyberrisques. Il est également important de parler de la cybersécurité en tant que risque personnel potentiel pour les administrateurs et les dirigeants, et de la façon dont une couverture contre les cyberrisques et une couverture pour les administrateurs et des dirigeants peuvent atténuer ce risque.
L’augmentation des tarifs pose un défi lorsqu’il s’agit d’obtenir le budget nécessaire pour une assurance cyberrisques. Au lieu de parler uniquement de ce qui pourrait se produire si l’entreprise n’a pas de cybercouverture, parlez des avantages que procurerait cette couverture pour l’entreprise. Présentez cette couverture moins comme une dépense et plus comme une valeur ajoutée. Les assureurs contre les cyberrisques vous donnent généralement accès à des fournisseurs préapprouvés, ce qui constitue un avantage majeur en cas d’atteinte. Assurez-vous que le conseil d’administration sait que les extensions de cybercouverture qui auraient pu être offertes dans le cadre des autres polices d’assurance biens et risques divers de l’organisation seront probablement éliminées, car les assureurs cherchent à exclure le cyberrisque des autres types de polices d’assurance. La situation évolue, et les gestionnaires de risques sont les mieux placés pour y faire face.
Les conseils d’administration se concentrent également sur les réputations, et une atteinte à la cybersécurité ou tout autre événement a d’importantes répercussions sur la réputation. Et il ne s’agit pas seulement des risques auxquels l’organisation est directement exposée; si un fournisseur ou un partenaire de votre chaîne d’approvisionnement est victime d’une attaque et que vous êtes compromis en aval, les clients et le public pourraient associer cette atteinte à votre marque pendant plusieurs années.
Et finalement, présentez une vue globale. Positionnez l’assurance cyberrisques dans le contexte des nombreuses étapes que votre entreprise doit suivre pour comprendre et planifier les mesures à prendre en cas d’atteinte à la cybersécurité.
Malheureusement, il s’agit de moins en moins de savoir « si » des cyberattaques peuvent se produire, mais plutôt « quand » elles vont se produire : 51 % des entreprises ont été victimes de l’exploitation d’une faille de sécurité informatique ou d’une atteinte à la protection des données au moins une fois au cours des deux dernières années, avec un impact financier total moyen de 4,5 millions de dollars.5 En raison de la probabilité d’une attaque, si vous êtes une grande organisation cotée en bourse et ne contractez pas d’assurance cyberrisques, vous pourriez faire l’objet d’une poursuite alléguant que le conseil d’administration a manqué à son obligation fiduciaire.
Une assurance peut rassurer le conseil d’administration, car elle constitue un solide filet de sécurité. Mais certaines entreprises font l’erreur de souscrire une assurance cyberrisques et de ne pas investir dans une stratégie de cybersécurité globale. Les organisations les mieux préparées ne considèrent pas l’assurance cyberrisques comme une panacée; elles la traitent plutôt comme un filet de sécurité alors qu’elles investissent déjà dans l’évaluation, la quantification, la formation, la gestion de la continuité des activités (GCA), l’intervention en cas d’incident et la reprise après sinistre.
De plus, sur le marché de l’assurance, vous voulez présenter le meilleur profil de risque possible. Les tarifs offerts refléteront la maturité de votre stratégie de cybersécurité.
Si vous ne recevez pas de financement de la part du conseil d’administration pour une assurance cyberrisques au départ, n’abandonnez pas. Il faut parfois plusieurs années de discussions avec les principales parties prenantes pour les aider à comprendre l’exposition au risque et les lacunes auxquelles l’organisation doit faire face. Effectuez d’autres études de quantification des risques et laissez les données appuyer vos dires au sujet de l’exposition de l’entreprise. Pendant cette période, le marché peut changer, et il arrive souvent que lorsque le conseil d’administration choisit enfin d’investir, il regrette de ne pas l’avoir fait plus tôt pour obtenir un meilleur prix. Quoi qu’il arrive, soyez résilient et persévérez, car les cyberrisques ne disparaîtront pas de sitôt.
Il est indéniable que les cyberrisques augmentent. Toutefois, avec une stratégie intelligente, en mettant l’accent sur la collaboration et les bonnes conversations avec les parties prenantes pertinentes, les gestionnaires de risques seront bien positionnés pour gérer et assurer le risque.
Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers juridiques et responsables des technologies et de la sécurité de l’information avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes.
Toutes ces ressources sont en anglais.
1 2020 Aon Cyber Security Risk Report
2 Cyber insurance rates to increase 20-50% this year: Aon
3 Cyber Loop: Managing Cyber Risk Requires a Circular Strategy