Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Cyber-risques : Enjeux, approches et gouvernance L’IFACI est affilié à The Inst

Cyber-risques : Enjeux, approches et gouvernance L’IFACI est affilié à The Institute of Internal Auditors IFACI - Juin 2018 Cyber-risques : Enjeux, approches et gouvernance 1 « Les cyber-risques sont des tempêtes imprévisibles qui croissent toujours en intensité ; rien n’est plus efficace pour les affronter de manière pérenne qu’une alliance proactive entre une gestion anticipatrice du risque et un audit interne clairvoyant. »1 Carlos Ghosn PDG et Président du Conseil d’Administration de RENAULT-NISSAN MITSUBISHI Alliance 2 Juin 2018 - IFACI Cyber-risques : Enjeux, approches et gouvernance I- Cyber-risque : Enjeux & caractéristiques La prise de conscience de l’importance du cyber-risque est très récente. Par exemple, au Royaume-Uni, l’enquête sur le risque systémique réalisée semestriellement par la Banque d’Angleterre auprès des cadres de la City de Londres ne fait ressortir le sujet de la cybersé- curité comme important qu’à partir de 2014-2015, pas avant2. De manière plus générale, si jusqu’en 2012, le cyber-risque est peu cité dans les enquêtes mondiales auprès des direc- teurs généraux d’entreprises ou des experts, il entre constamment parmi les 10 premiers risques de l’entreprise et de l’environnement économique depuis, voire dans son top 3 à la dernière réunion du World Economic Forum de Davos3. Des coûts toujours plus élevés avec des impacts économiques et sociétaux significatifs L’accélération des attaques, mais surtout l’alourdissement de leurs coûts, expliquent cette prise de conscience. Le géant américain de la distribution Target a annoncé que la cyber- attaque dont il a été victime fin 2013 lui aura couté 200 millions de dollars4. Son DSI et son PDG seront licenciés dans la foulée5. En juin 2017, la cyber-attaque NotPetya a coûté à Saint-Gobain près de 250 millions d’euros de chiffre d’affaires et 80 millions d’euros de résultat net6. La société Equifax va perdre, elle, plus d’un quart de sa valeur boursière suite à l’annonce d’une fuite de données en août 2017. Son RSSI, son DSI et son PDG seront licen- ciés. Au niveau sociétal, certaines études internationales récentes ont observé une baisse de la confiance client par rapport aux activités commerciales en ligne concernant les questions de cybersécurité, de véridicité et de respect de la vie privée7. Or, le maintien de la confiance client est crucial pour le développement des activités en ligne8. À l’origine du risque : la digitalisation des activités économiques et sociales… L’augmentation du cyber-risque est parallèle à celle de la digitalisation de l’ensemble des activités humaines. Celle-ci aussi est très récente : ce n’est qu’à partir de 2007 que plus de 93 % de toute l’information transmise ou enregistrée par l’ensemble de l’humanité est retranscrite en 0 et en 1, c’est-à-dire en « numérique » via des moyens informatiques9. Cette explosion digitale s’accélère : dès 2020, plus de 70 % des habitants de la planète posséde- ront un smartphone10. D’autres types d’objets connectés devraient s’y ajouter : S’il n’y avait que 0,5 milliard d’objets connectés en 200411, ils devraient atteindre 20 milliards en 202012 et peut-être jusqu’à 1 000 ou 2 000 milliards construits au total d’ici à 2035. Les bases techniques de cette transformation digitale posées à la fin des années 2000, elle finit par s’imposer économiquement dans la décennie qui suit. Marc Andreessen, fondateur de la société Netscape, note en 2011 que « le logiciel est en train de manger le monde13 ». IFACI - Juin 2018 Cyber-risques : Enjeux, approches et gouvernance 3 En 2017, sept des dix plus grandes sociétés au monde par leur capitalisation boursière viennent du digital14. De manière générale, à lui seul, le secteur des technologies de l’infor- mation atteignait en 2017 plus de 22 % du total de la capitalisation boursière du S&P 50015. … et la complexité technique et humaine Cette accélération technologique crée aussi de nouvelles complexités, empilant couches de services, de matériel ou de procédures, imbriquées dans l’organisation humaine qui les gère. De cette complexité non maîtrisée naît la vulnérabilité. Elle commence avec l’imbri- cation de lignes de code dont le volume explose. Ainsi, le noyau du logiciel Linux a vu le nombre des lignes de code qui le composent augmenter d’environ 800 % en dix ans16. Les logiciels des véhicules automobiles se composent aujourd’hui parfois de plusieurs dizaines de millions de lignes de code17. La complexité s’exacerbe aussi au niveau du réseau d’entre- prise. La gestion des mises à jour est d’autant plus complexe qu’il est extrêmement difficile d’obtenir une vue à plus de 90 % - 95 % de l’ensemble des actifs sur le réseau, et que, pour les entreprises les moins aguerries, cette vue dépasse rarement les 80 %18. Cette complexité agit aussi sur les acteurs humains, responsables au niveau individuel face aux cyber-risques, et d’abord au plus haut niveau : celui de la direction générale et du conseil d’administration. Lors de la cyber-attaque contre Target, c’est l’absence de gouvernance adéquate et de rapidité dans l’exécution managériale au plus haut niveau qui a permis à l’at- taque de se conduire jusqu’au bout. Pour tous les collaborateurs, une formation exhaustive face à la complexité des systèmes est nécessaire pour avoir les bons réflexes. Or, ce n’est pas suffisamment le cas. Résultat : 95 % des incidents sont liés à une erreur humaine19. Une définition du cyber-risque Dans les cas cités plus haut, il y a cyber-risque parce qu’un risque « classique » de l’entreprise (risque de réputation, de continuité opérationnelle, de poursuite légale…) va être matéria- lisé à la suite d’une action malveillante utilisant les moyens digitaux, et pouvant exploiter une négligence humaine et/ou une vulnérabilité du logiciel ou du matériel. Ainsi, Equifax perd un quart de sa valeur car sa réputation commerciale est entachée par son incapacité à protéger les données personnelles contenues dans les fichiers que la société gère. Le mar- ché anticipe également des poursuites judiciaires. Le risque de réputation commerciale est celui qui affecte le plus durement la valeur des entreprises. Son impact suite à des cyber-attaques, mesuré sur les marchés pour les entre- prises cotées, peut atteindre 1/5ème de la valeur d’entreprise20 – mais parfois plus, si un client important supprime sa relation commerciale avec l’entreprise défaillante : la société améri- caine Heartland Payment Services a ainsi perdu 70 % de sa valeur suite à une fuite de don- nées menaçant sa relation avec Visa21. Au niveau interne, l’impact sur la réputation pourrait également jouer sur la marque employeur et le coût de rétention ou de recrutement22. 4 Juin 2018 - IFACI Cyber-risques : Enjeux, approches et gouvernance Au-delà de la réputation : les nouveaux territoires du cyber-risque Les imbrications à la fois techniques et légales créent de nouveaux risques judiciaires ou administratifs. En 2015, la FTC (Food and Trade Commission) aux Etats-Unis a, pour la pre- mière fois, imposé à la chaîne hôtelière Wyndham d’adopter un programme de cybersécurité suite à des fuites de données en 2008 et 200923. Dans l’Union Européenne, la réglementa- tion RGPD en vigueur depuis mai 2018 impose une responsabilité de l’entreprise en cas de fuite de données, même si celle-ci est le fait d’un sous-traitant. Les risques sur la continuité opérationnelle de l’activité sont aussi de plus en plus nombreux. Par exemple, la prise de contrôle de caméras de vidéo-surveillance dans le tunnel du mont Carmel en Israël en 2013, a forcé au blocage du tunnel et provoqué plusieurs jours d’em- bouteillages. L’attaque NotPetya aurait contraint le transporteur danois Maersk à subir des retards et des annulations d’une valeur de 300 millions de dollars et à rebâtir une large partie de son réseau informatique en quelques jours24. Des risques sur la sûreté des utilisateurs commencent également à se faire jour. Certains exemples issus de l’essor des objets connectés ou de l’informatique industrielle, comme la prise de contrôle à distance de voitures Jeep Cheerokee en 2014 ou la révélation qu’une cyber-attaque en 2017 ciblait des installations pétrochimiques en Arabie Saoudite avec l’ob- jectif d’un sabotage industriel cherchant à faire des victimes parmi le personnel25, montrent que cette nouvelle informatique appliquée implique désormais la capacité avérée de bles- ser ou de tuer via une cyber-attaque, potentiellement sur une grande échelle. IFACI - Juin 2018 Cyber-risques : Enjeux, approches et gouvernance 5 II- Approches pour l’analyse des cyber-risques La gestion des cyber-risques de l’entreprise est une activité complexe, avec une compo- sante technique, humaine et organisationnelle. Afin de pouvoir l’aborder sous toutes ses facettes, il est utile de partir de références permettant d’apporter principes et idées afin de couvrir à minima les questions essentielles. Le présent document ne propose pas un cadre de règles préétablies, mais une suite d’élé- ments clés issus pour certains de modèles de référence, afin que chaque entreprise puisse établir par la suite le cadre le plus approprié à sa situation – qu’il s’agisse de sa taille, de son industrie, de sa stratégie & business model, de son appétence au risque, de sa vision et même de ses valeurs éthiques. En tant que tel, ce document constitue aussi une introduction à des modèles reconnus au niveau international et national - en particulier : OECD Principles for Digital Security Risk Mana- gement (OCDE, uploads/Finance/ cyber-risques.pdf