Dans notre monde numériquement interconnecté, les cyberattaques représentent une menace sérieuse pour les processus informatiques et commerciaux d’institutions de prévoyance. De plus, les cyberrisques posent des risques de réputation. La question n’est pas de définir la probabilité d’une cyberattaque, mais de savoir quand elle aura lieu. D’où la nécessité, pour de nombreuses entreprises, d’agir de toute urgence.

Publiée en mai 2022, l’étude de marché «Cyber Risk Management in grösseren Schweizer Unternehmen» (gestion des cyberrisques dans les grandes entreprises suisses), menée conjointement par la Haute école de Lucerne, economiesuisse et la Mobilière, montre que les directions d’entreprises ont bien conscience des menaces d’attaques numériques. Cependant, ces cyberrisques restent trop souvent traités comme un problème purement informatique. Or, en cas d’incident, une cyberattaque peut rapidement avoir un impact sur les processus commerciaux, interrompre l’activité et, par conséquent, soulever des questions de responsabilité civile, laissant planer la menace de sanctions, d’une perte de réputation, voire même du retrait de l’autorisation d’exploitation. Dans le pire des cas, ce genre d’attaque peut même ruiner une entreprise.

Cyberrisques: un enjeu à prendre au sérieux

Les institutions de prévoyance doivent elles aussi tenir compte des cyberrisques dans leur gestion stratégique des risques. L’objectif est de faire le lien entre la cybersécurité technique, c’est-à-dire au niveau de l’infrastructure informatique, et la gestion des risques de l’entreprise, afin que la direction puisse comparer les différentes catégories de risques, cybernétiques et autres, et les hiérarchiser. C’est une condition essentielle pour pouvoir identifier l’ampleur des cyberrisques sciemment pris par une entreprise.

Le facteur de risque humain

Le recours aux services sur le cloud comporte un risque de sécurité élevé. D’où l’importance d’une planification rigoureuse et d’utiliser le cloud avec prudence. Toutefois, de nombreux cyberrisques ne découlent pas de l’espace numérique, mais d’erreurs humaines. Or, ce facteur est trop souvent omis dans la prévention des cyberattaques. Il faut donc faire évoluer les mentalités, notamment en proposant régulièrement des formations à la gestion des cyberrisques, afin d’y sensibiliser le personnel et donc de les atténuer.

Trois conseils pour gérer les cyberrisques

• Définir les cyberrisques que l’entreprise est prête à prendre. Ces cyberrisques doivent être intégrés à la stratégie de gouvernance et de gestion des risques, puis hiérarchisés de manière cohérente.
• Encourager le dialogue entre le gestionnaire des risques et le prestataire de services informatiques (de sécurité) ou le RSSI. Ici, un assureur peut jouer le rôle de coéquipier et contribuer à la gestion des cyberrisques. En cas de cyberdommages, l’assureur peut proposer des services d’assistance dans le domaine de «Business Continuity Management».
• Tenir davantage compte du facteur humain. Informer régulièrement les collaborateurs et collaboratrices des dangers encourus et les former à la gestion des cyberrisques: des mesures efficaces pour les sensibiliser et réduire le risque de cyberattaques.

Informations complémentaires:

• Cyberassurance pour entreprises
• Étude Cyber Risk Management in grösseren Schweizer Unternehmen (en allemand)