Le risk manager face à l’accélération du risque de cyber criminalité
Le dernier rapport 2015 du FBI (Internal Crime Report) fait ressortir des indicateurs de risques inquiétants quand à la montée en puissance des filières de cyber criminalité organisées (1,070 millions de dollars de pertes avérées, 288 000 tentatives de cybercriminalité reportées dont 127 000 avec préjudice financier avéré).
Face à la montée exponentielle de cette criminalité, le risk manager doit se doter d’une réflexion structurée visant à réduire le niveau d’exposition de ce risque émergeant pouvant remettre potentiellement en cause la pérennité de l’entreprise.
La définition du risque de cyber criminalité
La cybercriminalité correspond à l’ensemble des infractions pénales internes ou externes à l’entreprise, commises à l’encontre ou au moyen d’un système d’information et/ou de télécommunication. Elle intègre les atteintes aux biens et personnes, piratage de données ou sites internet, vol de données. Elle se traduit par des cyber attaques portant sur des fuites de données, vol et divulgation de données sensibles, atteinte à la e-réputation.
Le cyber criminality risk mapping
La cartographie des risques de cybercriminalité peut être formalisée en différenciant d’une part les conséquences internes et externes du risque, et d’autre part en segmentant l’impact sur le business risk management (risques stratégiques et spéculatifs) et le corporate risk management (risques opérationnels et de sinistralité).
Entreprise | Tiers dont clients | |
Business Risk Management | Divulgation de données confidentielles, impact sur l’image, parts de marché, cours de l’action, cyber espionnage | |
Corporate Risk Management | Cyber extorsion de fonds | Atteinte à la vie privée de la personne par divulgation de données sensibles, cyber extorsion de fonds, vol d’information sur l’identité de la personne, atteinte à la e-réputation |
Cyber Criminality Risk Mapping
Les modalités de mise sous contrôle des risques de cyber criminalité
La mise sous contrôle du risque de cybercriminalité passe par le recours en préventif à la mise en œuvre de procédures et investissement de sureté visant à mitiger le risque. Il passe aussi par la souscription de contrats d’assurance ad’hoc.
Les procédures
Les procédures à réfléchir en pré loss sont les suivantes :
- Inventaires des ordinateurs, PC, téléphones à données sensibles,
- Renforcement des chartes informatiques, plan de protection des informations portant sur les items associés à la cyber criminalité,
- Production d’une cartographie des sites sensibles en terme de cybercriminalité.
Les investissements de sureté
Les investissements de sureté préventifs à engager pour diminuer le niveau d’exposition aux risques de cyber criminalité sont les suivants :
- Blocage des malware,
- Effacement des données à distance,
- Cryptage des données sensibles,
- Antispams et virus,
- SIESM utilisant des fonctionnalités de data mining.
Transfert des risques par l'assurance
L’accélération du risque de cyber criminalité a amené le marché de l’assurance à offrir de nouveaux contrats dépassant les garanties classiques d’une police Globale Informatique.
Au départ, ce type de contrat propose des garanties TRI (Tous Risques Informatiques) couvrant les dommages aux biens, ainsi que les frais de reconstitution des médias, ainsi des garanties ERI (Extension Risques Informatiques) couvrant les conséquences de l’utilisation non autorisée de ressources informatiques.
Les nouvelles garanties offertes concernent tant les dommages aux biens que la responsabilité civile avec des différences de profondeur et d’extension des contrats en fonction des assureurs.
Les garanties les plus significatives répertoriées sont les suivantes :
- Perte d’exploitation consécutive à la cybercriminalité,
- Frais de défense,
- Frais de reconstitution des données stockées en interne ou auprès de tiers (Cloud et hébergeurs),
- Indemnisation suite à extorsion de fonds,
- Perte d’image et de chiffre d’affaires,
- Conséquences financières pour les personnes dont les données ont été piratées,
- Conséquences de la divulgation des données confidentielles par un salarié,
- Frais de nettoyage des données divulguées sur internet et jouant sur la e-réputation de l’entreprise.
La mise en œuvre d’une telle approche transversale couplant procédures et investissement de sureté ad‘hoc ainsi que le programme d’assurance adapté constitue la seule modalité pour le risk manager de diminuer le niveau d’exposition à ce risque majeur de cyber criminalité ?