Le risk manager face à l’accélération du risque de cyber criminalité

Pascal Kerebel

Le dernier rapport 2015 du FBI (Internal Crime Report) fait ressortir des indicateurs de risques inquiétants quand à la montée en puissance des filières de cyber criminalité organisées (1,070 millions de dollars de pertes avérées, 288 000 tentatives de cybercriminalité reportées dont 127 000 avec préjudice financier avéré).

Face à la montée exponentielle de cette criminalité, le risk manager doit se doter d’une réflexion structurée visant à réduire le niveau d’exposition de ce risque émergeant pouvant remettre potentiellement en cause la pérennité de l’entreprise.

Cybercriminalité en finance

La définition du risque de cyber criminalité

La cybercriminalité correspond à l’ensemble des infractions pénales internes ou externes à l’entreprise, commises à l’encontre ou au moyen d’un système d’information et/ou de télécommunication. Elle intègre les atteintes aux biens et personnes, piratage de données ou sites internet, vol de données. Elle se traduit par des cyber attaques portant sur des fuites de données, vol et divulgation de données sensibles, atteinte à la e-réputation.

Le cyber criminality risk mapping

La cartographie des risques de cybercriminalité peut être formalisée en différenciant d’une part les conséquences internes et externes du risque, et d’autre part en segmentant l’impact sur le business risk management (risques stratégiques et spéculatifs) et le corporate risk management (risques opérationnels et de sinistralité).

EntrepriseTiers dont clients
Business Risk ManagementDivulgation de données confidentielles, impact sur l’image, parts de marché, cours de l’action, cyber espionnage
Corporate Risk Management

Cyber extorsion de fonds

Atteinte à la vie privée de la personne par divulgation de données sensibles, cyber extorsion de fonds, vol d’information sur l’identité de la personne, atteinte à la e-réputation

Cyber Criminality Risk Mapping

Les modalités de mise sous contrôle des risques de cyber criminalité

La mise sous contrôle du risque de cybercriminalité passe par le recours en préventif à la mise en œuvre de procédures et investissement de sureté visant à mitiger le risque. Il passe aussi par la souscription de contrats d’assurance ad’hoc.

Les procédures

Les procédures à réfléchir en pré loss sont les suivantes :

  • Inventaires des ordinateurs, PC, téléphones à données sensibles,
  • Renforcement des chartes informatiques, plan de protection des informations portant sur les items associés à la cyber criminalité,
  • Production d’une cartographie des sites sensibles en terme de cybercriminalité.

Les investissements de sureté

Les investissements de sureté préventifs à engager pour diminuer le niveau d’exposition aux risques de cyber criminalité sont les suivants :

  • Blocage des malware,
  • Effacement des données à distance,
  • Cryptage des données sensibles,
  • Antispams et virus,
  • SIESM utilisant des fonctionnalités de data mining.

Transfert des risques par l'assurance

L’accélération du risque de cyber criminalité a amené le marché de l’assurance à offrir de nouveaux contrats dépassant les garanties classiques d’une police Globale Informatique.

Au départ, ce type de contrat propose des garanties TRI (Tous Risques Informatiques) couvrant les dommages aux biens, ainsi que les frais de reconstitution des médias, ainsi des garanties ERI (Extension Risques Informatiques) couvrant les conséquences de l’utilisation non autorisée de ressources informatiques.

Les nouvelles garanties offertes concernent tant les dommages aux biens que la responsabilité civile avec des différences de profondeur et d’extension des contrats en fonction des assureurs.

Les garanties les plus significatives répertoriées sont les suivantes :

  • Perte d’exploitation consécutive à la cybercriminalité,
  • Frais de défense,
  • Frais de reconstitution des données stockées en interne ou auprès de tiers (Cloud et hébergeurs),
  • Indemnisation suite à extorsion de fonds,
  • Perte d’image et de chiffre d’affaires,
  • Conséquences financières pour les personnes dont les données ont été piratées,
  • Conséquences de la divulgation des données confidentielles par un salarié,
  • Frais de nettoyage des données divulguées sur internet et jouant sur la e-réputation de l’entreprise.

La mise en œuvre d’une telle approche transversale couplant procédures et investissement de sureté ad‘hoc ainsi que le programme d’assurance adapté constitue la seule modalité pour le risk manager de diminuer le niveau d’exposition à ce risque majeur de cyber criminalité ?

Ecrit par

Pascal Kerebel

En savoir plus
newsletter image

Recevez nos newsletters

Formation, Management, Commercial, Efficacité pro

Abonnez-vous