Cercle Européen de la Sécurité et des Systèmes d'Informations

Interview de Brigitte BOUQUOT, présidente de l’AMRAE

Publié le

Les Risk Managers sont aujourd’hui confrontés aux risques qui touchent la sécurité des systèmes d’information. Dans ce contexte, ils doivent travailler étroitement avec les RSSI. Brigitte Bouquot, présidente de l’AMRAE (Association Management des Risques et des Assurances de l'Entreprise) rappelle l’importance de ce partenariat. 

La cybersécurité : un nouveau monde pour les Risk Managers ?

De fait, les Risk Managers qui n’ont pas été confrontés historiquement aux questions de sécurité des systèmes d’information (SI) n’ont pas été en pointe sur ces sujets perçus avant tout comme technologiques. C’est un peu moins vrai pour ceux qui ont travaillé dans le domaine de la défense nationale où la sécurité fait partie de « l’ADN » de l’entreprise. Car lorsque l’on parle de sécurité des SI, il s’agit du propre SI de l’entreprise - qui est le terrain des RSSI- mais aussi de la sécurité intégrée dans les produits vendus aux clients. Ce que l’on a aussi désigné par « Safety » et qui par la propagation des architectures internet et de la connectivité devient un enjeu global de sécurité des SI. Les Risk Managers étaient extérieurs à ce monde dont les concepts ne sont pas nouveaux, mais qui s’est globalisé dans le BtoB comme le BtoC. Ils doivent faire un effort de compréhension de ce risk management plus particulier. De leurs côtés, les acteurs de la SSI doivent passer d’un discours orienté sur les solutions techniques vers un discours plus global qui intègre la gouvernance et toutes les dimensions de la cyber-sécurité.

Comment voyez-vous le rôle de chacun ?

Il y a deux expertises différentes. Le RSSI a la responsabilité de déployer dans son entreprise la bonne politique de sécurité des systèmes d’information en toute indépendance et avec les obligations de reporting de son activité (par exemple si son organisation est une OIV …). Le Risk Manager doit s’assurer que son entreprise a une politique de sécurité des SI. Il faut qu’il l’ait comprise et qu’il ait discuté avec le RSSI. Par ailleurs, il doit être capable de modéliser les scénarios de risque de sécurité SI de son organisation et leurs conséquences. Mais ça ne peut se faire sans le RSSI. Ces derniers n’ont pas toujours cette expertise qui requiert une vue macro. S’il faut faire une présentation devant le comité d’audit, si le Risk Manager doit acheter des capacités d’assurance… il est nécessaire de faire ce travail conjointement. Le RSSI apporte son expertise du sujet et le Risk Manager son expertise de management du processus d’ERM. Le Risk Manager s’appuie sur des propriétaires de risque. Il ne fait pas tout.

Vous percevez des évolutions positives ces dernières années

Les lignes ont beaucoup bougé avec une prise de conscience générale. La LPM, la désignation des OIV… a permis de prendre le sujet « par le haut » et de toucher les dirigeants. Certes, il y a encore beaucoup à faire mais du chemin a été parcouru grâce aux Assises de la Sécurité, aux prestataires de solutions de sécurité et aussi grâce au marché de l’assurance. Nous ne sommes plus dans l’incompréhension comme il y a encore deux ans. Aujourd’hui, c’est plus clair : les RSSI ont des plans de déploiement de politique de sécurité avec une gouvernance, des étapes à respecter, des budgets… ; et les Risk Managers travaillent à modéliser les scénarios en essayant de voir s’il est nécessaire d’acheter ou non des capacités d’assurance au regard de la qualité des garanties

Vous évoquez les cyber-assurances. Mais c’est un sujet sur lequel les RSSI restent encore très perplexes

Souvent pour des raisons de confidentialité. Travailler avec des assureurs signifie fournir des informations sensibles à des tiers. Mais les Risk Managers notamment dans les groupes « régaliens » ont l’habitude de vivre dans des environnements complexes. Nous parvenons à traiter un dossier assurance en conservant une bonne confidentialité des éléments transférés avec des assureurs de confiance. Ce problème n’est pas nouveau avec le risque cyber, même s’il est plus sensible car touchant au système nerveux de l’entreprise . Il faut bien sûr être prudent et ne donner que les informations nécessaires. Mais les experts de la SSI ne doivent pas en faire un argument contre l’assurance.

L’Amrae participe à la Table-ronde « Sûreté et sécurité numérique : vers la sécurité globale » le mercredi 5 octobre à 17h

Pour en savoir plus, cliquez ici

Dernière publication

Olivier LIGNEUL, membre du comité de pilotage apporte un éclairage sur le couple IOT/Blockchain.

Lire