Le risque cyber mieux évalué

A l’heure actuelle, une entreprise a plus de risque de déposer le bilan à cause d’une cyber-attaque que de la défaillance d’un client... Nos PME sont à leur tour victimes des campagnes de phishing et d’intrusion, souvent en tant que sous-traitantes de grands groupes. Les menaces se renouvellent en permanence, rendant très difficile leur prévention. Or, aujourd’hui, nos entreprises sont-elles bien couvertes contre ce nouveau risque aux contours multiformes et évolutifs ?

Une étude réalisée par le projet Cyber Risk Management (CyRiM), une initiative public-privé soutenue par plusieurs grands assureurs et réassureurs mondiaux, révèle qu’en cas d’attaque de grande ampleur, les assureurs ne prendraient en charge qu’une toute petite partie de la facture (entre 9 % et 14 % des pertes économiques totales, selon les scénarios). Une telle attaque déclencherait pourtant aussi bien des polices cyber que des contrats d’assurance d’entreprises « classiques » ne prévoyant pas d’exclusions explicites pour les sinistres causés par des cyberattaques. La majorité des indemnisations servirait à couvrir les interruptions d’activité occasionnées.

Dès lors, le constat est implacable : nos risques cyber restent mal couverts malgré leur occurrence et leurs impacts déjà mesurables. Pour quelles raisons ? Tout d’abord, le risque cyber reste encore difficile à modéliser, du fait d’un manque de données : les entreprises ne partagent pas beaucoup d’informations sur les attaques qu’elles ont subies et la menace se renouvelle régulièrement...

De fait, si beaucoup d’intervenants se positionnent sur le marché de la cybersécurité (consultants, assureurs...), peu parviennent à évaluer les impacts financiers du risque : Si le risque se concrétise, quelles sont les conséquences pour l’entreprise ?

Préjudices négligés

Cette évaluation nécessite en effet d’auditer le dispositif de protection de l’entreprise, mais également de mesurer son exposition au risque (qui dépend de son secteur d’activité et de son niveau de digitalisation) : mesure de la criticité des données, scénarios de menaces possibles, chiffrage de leur impact financier en mettant en regard le coût des mesures préventives pouvant être prises (un changement de serveur, des frais de sauvegarde, l’intervention d’un spécialiste...).

Trop souvent, les évaluations financières des conséquences des cyberattaques négligent les incidences sur la notoriété de l’entreprise, sur le préjudice d’image et sur la perte de confiance des partenaires économiques. Ces points de préjudice sont pourtant très significatifs.

L’évaluation financière du risque cyber rend possible de mettre en regard les impacts financiers d’une attaque et les coûts de sa prévention. Cette comparaison se révèle vite la clé d’entrée afin que les entreprises se positionnent et les assureurs chiffrent leur police d’assurance.

Cette évaluation financière, en plus d’être une approche de nature à convaincre les dirigeants de PME, souvent les plus réticents à engager des frais, permettra en effet d’isoler un « risque résiduel » transférable à un assureur après avoir pris les mesures préventives nécessaires.

Fort de la confiance que lui accorde la gouvernance de l’entreprise, le commissaire aux comptes est appelé à mener cette mission de sensibilisation auprès des entreprises, notamment des TPE-PME.

Ce dernier est l’un des conseils les mieux placés pour conduire cette action car il est l’expert des flux de données dans l’entreprise (financiers, marchandises, données sociales, etc.) qu’il cartographie dans le but d’évaluer la qualité des systèmes d’information. En effectuant ce diagnostic, le commissaire aux comptes met en évidence la nécessité de protéger le capital immatériel de l’entreprise (qui représente jusqu’à 80 % de sa valeur). Au cœur de l’information financière, il est à même de mesurer les pertes d’exploitation, les compensations financières à accorder aux parties lésées, les sur-coûts d’exploitation, etc.

En associant diagnostic des systèmes d’information et évaluation financière, le commissaire aux comptes met en exergue les risques aux conséquences les plus coûteuses. Formulant des recommandations, il permet aux entreprises d’améliorer leur maturité face aux risques. Ce diagnostic contribue aussi à faciliter la discussion entre l’entreprise et son assureur pour adapter la couverture des risques.

Cette mission conduit aussi la gouvernance à réfléchir sur une stratégie globale visant à améliorer la résilience de l’entreprise. En effet, l’enjeu n’est pas d’éviter l’attaque (cela est impossible) mais d’en réduire les conséquences dommageables et de retrouver un niveau d’activité satisfaisant dans les meilleurs délais.