La démarche de la cartographie vise à identifier les actifs précieux d’une organisation et les risques sur ces actifs. Cette démarche est prioritaire pour une éventuelle d’externalisation du risque via des véhicules assurantiels. Ces actifs peuvent être constitués de logiciels ou bien immatériel au sens large, de services et de matériel précieux pour le fonctionnement de l’organisation et/ou sensibles sur les plans juridique ou stratégique. Une fois les « objets » de la couverture identifiés, il faut énumérer les évènements/scenarii de risques qui pèsent sur ces actifs. Cela permet par la suite d’associer des mesures de protection à chacun de ces risques.
Avec l’aide d’un expert, interne ou externe à l’organisation, la quantification de ces risques permet de gérer les priorités et mieux évaluer la pertinence d’une externalisation.
En somme, cette démarche de cartographie vise à approcher vos besoins en capitaux que vous auriez intérêt à souscrire via un contrat d’assurance ou à provisionner/annexer à vos fonds propres dans une démarche d’auto assurance.
Identification des actifs précieux
La première étape est de bien définir le périmètre de l’étude. Les actifs cyber peuvent être constitués de :
- données des tiers selon deux grandes familles
- personnelles (clients directs, clients indirectes comme les sous-traitants, les employés …)
- professionnelles ( données sur d’autres entreprises, données pour d’autres entreprises …)
- données internes liées aux opérations et les données stratégiques
- données comptables
- brevets / innovations / produits
- plans stratégiques
- services
- Aux tiers
- Internes
- les savoirs faire à dupliquer quand c’est possible ou à diversifier
Identification des risques
Une fois les actifs précieux et leurs processus opérationnels correspondant identifiés, il faudrait énumérer les événements appréhendés par l’organisation. Il est nécessaire de faire une étude précise de ces événements potentiels avec leurs typologies et leurs sources potentielles. Dans un souci de complétude et d’efficacité, les mesures de protection existantes doivent être, par la même occasion, collectées.
Les risques cybers peuvent être catégorisés selon quatre grandes familles que nous citons ci-après :
- Image et réputation
- Vol financier ou rançon
- Pertes d’exploitation
- Sanctions légales
On peut classer les incidents cybers associés à ces risques ainsi :
- Vol ou perte de données
- Disparition ou altération de données
- Indisponibilité d’un service
De nombreux vecteurs/actions, volontaires ou involontaires, peuvent conduire à la réalisation du risque tel qu’un incendie ou une inondation.
Cette démarche d’auto-évaluation des risques cyber participe à la sensibilisation et donne, en général, les premiers diagnostics et indicateurs pertinents sur lesquels un programme de gestion du risque cyber pourrait s’appuyer.
Évaluation / analyse des risques
A ce stade, l’évaluation et l’analyse du risque cyber se base, en grande partie, sur l’identification d’un certain nombre de scénarios pour estimer les pertes directes potentielles envisageables.
L’industrie manque de données et d’historique suffisant pour proposer des modèles d’aide à la décision basés sur une approche actuarielle. Nous développerons davantage ce dernier point dans un prochain article.
Pour alimenter la réflexion sur ces scenarii, il est préférable de commencer par recenser les sinistres ou énervements passés. Cela permet de se faire un premier avis sur leurs fréquences mais surtout sur les conséquences probables. A défaut, il serait pertinent de s’inspirer des événements ayant impactés des organisations similaires et sur lesquels, il y a des informations fiables sur leurs impacts.
Grâce aux dépendances entre différents scénarios, la perte totale attendue d’un incident peut être estimée sans omettre les coûts indirects.
L’estimation des probabilités d’occurrence est l’un des plus grands défis. Le cyber risque est très dynamique, évolue rapidement et est soumis à un changement perpétuel. Ceci dit, vous pourriez préserver un bon niveau de pertinence en classant les risques sur une matrice d’occurrence et d’impact pour mieux faire dégager des priorités avec des plans d’actions appropriés.
Gestion des risques (évitement, atténuation, transfert, rétention)
La stratégie d’évitement signifierait une réduction drastique de l’usage du SI et des connexions Web ce qui serait un handicap majeur pour l’évolution de la quasi majorité des entreprises dans l’économie actuelle.
La réduction des risques et leur atténuation semblent être plus efficaces. Il s’agit d’instruments visant à réduire la probabilité d’occurrence (gestion des mises à jour, logiciel antivirus, pare-feu …) ou qui réduisent l’impact (gestion des crises, chiffrement, segmentation du SI, authentification des accès …).
Formulé comme un problème d’optimisation, tenant compte des contraintes de coût et d’adéquation ainsi que de budget, les réflexions sur l’atténuation des risques cyber peuvent aider à sélectionner les moyens les plus efficaces disponibles.
Le transfert de risque est possible par la souscription d’un contrat d’assurance. A mesure que le marché de la cyber assurance se développe, la gamme de produits est en perpétuelle évolution et des couvertures adéquates sont désormais accessibles.
Cependant, certains risques ne sont pas assurables.
- soit pour des raisons légales comme les amendes ou le volet pénal
- soit pour des raisons techniques. Par exemple une donnée altérée ou disparue peut être impossible à récupérer (ex : des données issues de capteurs tel que du son, un enregistrement audio, une photographie …)
La combinaison de la réduction / atténuation des risques et du transfert des risques est une option particulièrement importante. Ceci dit, un assureur conditionne la souscription d’un contrat par le respect des mesures appropriées de réduction / atténuation des risques à mettre en place et dont il pourrait vérifier l’efficacité à partir du questionnaire initial ou lors des visites de risque.
En cas d’auto-assurance, l’entreprise décide de payer elle-même les pertes. Ses fonds propres doivent servir de tampon de sécurité. En outre, un plan de gestion de crise efficace est une condition préalable importante pour faire face correctement aux cyber-risques.
