A l’heure de Mirai, WannaCry, et de leurs multiples émules, dont le très récent Petya, les entreprises prennent conscience des problématiques concernant les cyber-menaces, et les risques qu’ils posent à leurs modèles de gouvernances.
Un modèle de gouvernance est la mise en œuvre d’un ensemble de normes, mécanismes, protocoles et structures afin d’assurer une meilleure coordination entre les différents acteurs de l’entreprise ou d’un organisme, sur un sujet donné. Ces principes permettent de prendre des décisions et de les appliquer en vue d’atteindre les objectifs fixés.
1 – L’ère des cyber-menaces en entreprise
A une certaine époque l’on s’imaginait que les problèmes informatiques n’étaient réservés qu’à une bande de geeks à lunettes, relocalisés dans les sous-sols de l’entreprise. Avec l’explosion des besoins informatiques dans le monde de l’entreprise, la réalité a bien changé, les directeurs informatiques sont devenus ces denrées rares que tous convoitent.
En effet, depuis peu les entreprises ont pris conscience que leurs systèmes informatiques étaient sensibles aux cyber-attaques et qu’elles n’étaient pas forcément en mesure de parer aux attaques, dont les terribles ransomwares et DDoS
Face aux documents cryptés par les ransomwares, aux attaques contre les disques durs, aux impossibilités de démarrage de certains systèmes d’exploitation, les risk managers se réveillent, à l’instar de celui d’Airbus Defence & Space, qui explique qu’il faut « mettre en évidence les scénarios crédibles d’exposition de l’entreprise au risque cyber, et d’associer les problèmes de sécurité aux conséquences sur le business ».
Souvent les entreprises ont des difficultés à allouer des fonds pour se protéger contre la cybercriminalité, d’autant que les coûts de protection sont en nette augmentation, avec un coût pour les entreprises de 3,36 milliards d’euros en 2015.
Avec 53% des entreprises françaises victimes de cybercriminalité entre 2014 et 2016, une étude PWC démontre que plus de la moitié d’entre elles n’ont pas de plan d’action opérationnel pour répondre à une cyber-attaque
2 – Une nécessaire mise à jour des modèles de gouvernance
Face à ce constat, de nouvelles idées se rapportant aux modèles de gouvernance commencent à émerger, principalement fondées sur la gestion du cyber-risque. Les risk managers sont montés au front, accompagnés d’auditeurs internes, en proposant de mettre à jour les modèles, afin que ceux-ci intègrent une vue d’ensemble du risque pesant sur la chaine de valeur.
Par exemple, en cas de cyber-attaque et d’un vol subséquent de données à caractère personnel, selon la Loi informatique et liberté et le RGPD, la responsabilité de l’entreprise et du responsable de traitement pourrait être engagée. Même si celle-ci est déclarée « compliant » à la suite d’une PIA, le risque est de 300 000 euros d’amende et de cinq ans d’emprisonnement. On ne badine pas avec les données.
La création d’un groupe multidisciplinaire, sous la houlette du risk manager, est donc préconisée. Son objectif serait de mettre en évidence les différentes vulnérabilités de l’entreprise aux attaques informatiques, de repérer les conséquences que pourraient avoir ces failles sur l’entreprise, ainsi que de quantifier les risques financiers qui pèsent sur celle-ci.
Une fois les problèmes identifiés, il sera nécessaire de leur apporter une solution et, pour ce faire, le groupe devra proposer des mesures de minimisation du risque ainsi que d’investir dans des moyens de protection contre la menace informatique. Cela permettra aux dirigeants de l’entreprise de prendre des décisions plus efficaces concernant la politique de sécurité informatique de l’entreprise, ainsi que les mesures pour y parvenir, afin de s’assurer une certaine tranquillité d’esprit.
Entreprise traitant de données personnelles ? Risk manager soucieux d’avoir une bonne pratique en matière cybersécurité ? Le cabinet HAAS dédie un pôle de son activité au traitement et à la protection des données.
Pour être accompagné dans vos démarches ou pour tout renseignement complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats ici.
- La cybercriminalité, nouvelle priorité pour les Etats-Unis
- FACEBOOK dans la tourmente des « class actions »
- Chroniques de l’intimité connectée – Les mardis du Luxembourg
- Formation « Les enjeux du droit à la protection des données à caractère personnel » Prochaines sessions : 20-21 avril 2015 et 11-12 juin 2015
- Cloud : Déplacement et localisation physique des données à caractère personnel hors d’Europe