Le Baromètre des risques 2019 d’AGCS souligne que les risques cyber et BI sont de plus en plus interconnectés : les ransomware et les pannes informatiques peuvent causer des interruptions d’activité se chiffrant en centaines de millions d’euros.
Selon le Baromètre du Risque Allianz publié en début d’année, les entreprises mondiales considèrent dans leur ensemble que le risque cyber et l’interruption d’activité (ou BI) restent les deux risques majeurs.
Ces menaces ont toutes les deux totalisé 37 % à l’issue de l’étude annuelle des risques menée par Allianz Global Corporate & Specialty. La BI s’inscrit en tête de classement pour la 7e année consécutive ; les risques cyber continuent leur progression, car ils ont entraîné des pertes retentissantes. Ces deux risques se superposent parfois dans le cas des logiciels rançonneurs (ransomware) ou encore des interruptions d’activité causées par des problèmes informatiques.
« Les scénarios pouvant conduire à une BI se multiplient, reconnaît Tracy Hunt, la Directrice générale adjointe de Zurich à Londres. Des événements tels qu’une grosse panne informatique, un rappel produit, un problème de qualité, des actes terroristes, des violences politiques, des émeutes ou des accidents environnementaux, tous peuvent stopper l’activité d’une entreprise.
« Une simple surtension sur le réseau électrique ou un problème lors d’une migration informatique peuvent générer des centaines de millions de pertes. Notre dépendance aux services informatiques externes – cloud, services de réservation en ligne, systèmes de logistique – crée autant d’expositions potentielles aux BI. »
Le coût mondial de la cybercriminalité est estimé à 600 Md$ par an : les attaques risquent de se solder par des actions en justice déclenchées tant par les investisseurs que les groupes de consommateurs.
Pour les risk managers, la numérisation est une révolution : elle fait du risque cyber une menace qui pèse sur la totalité de l’entreprise.
« Il y a deux ans, le risque cyber se cantonnait encore plus ou moins aux services informatiques. Désormais, c’est un risque qui menace la totalité de l’entreprise, confirme Jo Willaert, le Président de l’IFRIMA et de la FERMA.
« Le risque cyber doit se placer en tête de la liste des problèmes à traiter pour les conseils d’administration. Il concerne en effet la totalité de l’entreprise et c’est l’une des premières causes de BI. C’est donc un risque qui doit être géré avec l’appui de tous les acteurs, de l’informatique à de la communication en passant par les services juridiques, les RH et tous les services de support de l’entreprise.
« Par conséquent, le risk manager est la personne la mieux placée pour analyser les stratégies des services et de la direction générale, pour coordonner les efforts, inventorier et examiner les risques ainsi que pour conseiller les décideurs sur les actions à mener.
« Cela se ressent avec les polices d’assurance. Il y a encore cinq ans, l’accent était mis sur les couvertures en responsabilité professionnelle ; maintenant, il s’agit de couvrir les BI. »
Bien que la gravité du risque cyber soit avant tout liée au niveau de dépendance de l’entreprise au numérique, la perception du risque est beaucoup moins forte au sein des PME et PMI.
« On constate un manque de sensibilisation aux risques, en particulier en matière de résilience, explique Philippe Cotelle, le Directeur du risk management d’Airbus Défense et Espace. Il faut relever le niveau de sécurité. Cela passe aussi par une bonne couverture assurantielle des risques cyber, en adéquation avec le profil d’exposition et l’appétence au risque de l’entreprise.
« Cet équilibre doit s’établir à l’échelle de toute l’entreprise, poursuit-il. Nous avons tous plus ou moins conscience que le risque est présent et que nous devons agir. Pour les petites et moyennes entreprises, cette réflexion n’est pas très développée, car le degré de compréhension du cyber risque est limité. Celui-ci est souvent perçu comme un risque parmi tant d’autres : il passe souvent au second plan, après d’autres risques. L’entreprise n’imagine pas qu’elle puisse être une cible potentielle. »
No comments yet