La 6ème conférence annuelle de Risk Frontiers, qui s’est tenue le 30 novembre dernier à Bruxelles, s’est penchée sur l’environnement en constante évolution du cyberrisque. La conférence a été organisée pour donner un aperçu des cyberrisques d’aujourd’hui, comment ces risques évoluent, comment ces risques peuvent être atténués et assurés, et comment les entreprises doivent réagir pour récupérer après des cyberincidents. Un compte rendu de Chubb.
Kyle Bryant, Regional Cyber Risk Manager Europe pour Chubb, a lancé sa session en soulignant que l’identification et la gestion des risques doivent aller au-delà des mécanismes de sensibilisation et de formation. Les entreprises ont besoin de procédures de gestion ayant suffisamment d’influence pour non seulement installer des procédures de cyberrisque, mais aussi soumettre de telles procédures à des tests. Faisant le lien avec le thème plus général de la conférence, M. Bryant a souligné que les entreprises doivent relever le défi du cyberrisque en mettant en place un plan qui ne vise pas simplement à prévenir, mais disposant en place des mécanismes pour identifier et répondre de manière appropriée et proportionnelle selon les expositions particulières des sociétés respectives. M. Bryant a souligné que la planification des cyberrisques commence avec les structures de gouvernance et doit être considérée comme un processus dynamique, où la planification des risques doit rattraper les risques en constante évolution auxquels les entreprises sont confrontées. Il a attiré l’attention sur la recherche de Chubb sur le Chubb’s ‘Bridging the cyber-risk gap’ research (‘Combler le cyberfossé’), qui a révélé un manque de consensus entre risk managers et spécialistes IT sur l’identification et l’atténuation des menaces, ce qui rendait les entreprises vulnérables.
De nombreux types d’exposition relèvent désormais de la cyberassurance
Lors d’une table ronde ultérieure, M. Bryant a expliqué que ce que recouvre réellement la cyberassurance a augmenté, car de nombreux types d’exposition relèvent désormais de la cyberassurance. Il a en outre souligné que si la valeur des actifs informationnels tels que les données ne cesse d’augmenter, et dépasse celle de la valeur des biens, les niveaux d’assurance des actifs informationnels sont encore loin de ceux appliqués à la propriété.
Cependant, une fois qu’un cyberincident s’est produit, que se passe-t-il? Les entreprises savent-elles quand déclencher leurs cyberpolices? Steve Parry, le Claims Director Europe de Chubb, a déclaré que ces situations pourraient être mal gérées si les personnes ne sont pas conscientes ou ne comprennent même pas quelle politie doit être activée et ce que la police activée couvre réellement. ll a évoqué une cyberattaque qui a provoqué un incendie puis une explosion subséquente, l’entreprise impliquée dans l’événement avait à la fois une assurance incendie et une cyberassurance et ne savait pas quelle police devait être activée.
Les entreprises doivent avoir des procédures claires et adéquates
Coïncidant avec les conséquences des attaques de Wannacry et l’intérêt croissant des entreprises pour la protection contre les cyberrisques, cette conférence nous a rappelé que si nous pouvons essayer de prévenir autant d’incidents que possible, les entreprises doivent avoir des procédures claires et adéquates en place pour identifier et gérer les incidents. La prévention des cyberrisques nécessite un changement de perception au sein des entreprises afin qu’elles mettent davantage l’accent sur l’atténuation des incidents grâce à des mécanismes de crise adéquats afin d’être prêtes à faire face à l’inévitable cyberincident. Comme M. Bryant l’a dit en conclusion: « Les gens font des erreurs, qu’ils soient des employés à temps plein ou temporaires, des cadres ou des administrateurs. Les gens sont un risque difficile à contrôler. »
