Gestion des risques : du scénario futur aux questions de sécurité

En d'autres termes, pour les comptables des risques, ces dangers se situent en dehors de leur monde imaginaire, loin des feuilles de calcul Excel et des tableaux de bord. Le résultat ? Des faillites, de la malchance et des catastrophes. Les médias regorgent d'exemples de ce genre - notamment de la part de groupes renommés qui, de par leur expérience, devraient mieux savoir.

• Le piratage des serveurs de la banque américaine J.P. Morgan Chase & Co a été plus grave qu'on ne le pensait jusqu'à présent. Les données de contact de 76 millions de ménages et de 7 millions de petites entreprises ont été obtenues lors de la cyberattaque, a indiqué la banque. Les pirates n'ont accédé aux serveurs que pour une courte durée et ont cessé leurs activités au bout d'une heure.
• Une entreprise américaine de sécurité informatique a découvert ce qui pourrait être le plus grand vol de données de tous les temps. Des pirates russes auraient volé 1,2 milliard de données de connexion. Des noms d'utilisateur et des mots de passe pour toutes sortes de services Internet, des e-mails aux sites d'achat en passant par les médias sociaux. Les experts conseillent de changer de mot de passe.
• Les dommages causés par l'attaque du réseau Playstation de Sony ont pris des proportions énormes. Les pirates se sont procuré des données telles que les noms, les e-mails, les données de connexion et les adresses de 71 millions d'utilisateurs. Il est même possible qu'ils aient réussi à récupérer des données de cartes de crédit. Le préjudice financier pour Sony est estimé à 24 milliards de dollars américains.
• Le fabricant de logiciels Adobe Systems s'est fait voler 100 millions de noms d'utilisateurs, y compris les mots de passe cryptés et les indices de mot de passe.

La liste va s'allonger encore plus vite à l'avenir, surtout pour les PME ...

Naïveté et insouciance

Les cyberattaques sont en constante augmentation depuis des années. Des études empiriques montrent que ce sont surtout les défaillances des technologies de l'information (TI) qui se répercutent directement sur les coûts d'une entreprise. Ce qui est passionnant, c'est qu'il est possible de se protéger, mais pour de nombreuses entreprises, le sujet n'est pas encore à l'ordre du jour. La naïveté souvent sans précédent des entreprises et l'insouciance avec laquelle elles traitent leurs données et leurs systèmes de sécurité font que la cybercriminalité est un "crime d'avenir". Lorsqu'il s'agit de gestion de crise et de leur propre sécurité, les entreprises sont malheureusement souvent naïves et se bercent d'une fausse sécurité - la criminalité économique et la cybercriminalité sont trop souvent considérées comme "le problème des autres". Et ce, bien que selon l'étude actuelle "Net Losses - Estimating the Global Cost of Cybercrime" du Center for Strategic and International Studies (CSIS), la cybercriminalité cause des dommages annuels globaux de plus de 400 milliards de dollars US.

En particulier en ce qui concerne la récupération des données, la restauration des données importantes de l'entreprise, un temps précieux est perdu inutilement, alors qu'il pourrait être économisé en optimisant la protection des données, notamment lors de la récupération des données. Plus les temps d'arrêt sont longs, plus les coûts associés sont trivialement élevés.

Approches orientées sur des scénarios

Mais ce n'est que lorsque les entreprises auront renoncé à regarder dans le rétroviseur et qu'elles se tourneront vers l'avenir avec des approches orientées sur des scénarios que la gestion des risques offrira un solide instrument de navigation aux entreprises. Les principaux défis de la gestion des risques dans une entreprise sont la définition de scénarios et d'un "plan de bataille" en cas de crise. Un tel plan de crise est le principal outil permettant à une entreprise de réagir rapidement et de manière appropriée à des attaques soudaines. Ainsi, une entreprise devrait analyser les problèmes que le vol de données pourrait lui causer, ainsi que l'ampleur d'une éventuelle perte de réputation. Il doit exister une stratégie définissant la manière de traiter les clients, la presse ou le ministère public en cas de crise. Ou comment l'entreprise se comporte en public et, last but not least, comment se comporter vis-à-vis de ses propres collaborateurs. Le report des risques sur l'industrie de l'assurance ne fonctionne que partiellement. Le preneur d'assurance doit savoir que seul le dommage financier peut être couvert par ce que l'on appelle les cyberassurances. Le dommage réel, par exemple la perte de réputation, reste toutefois présent et relève de la responsabilité de l'entreprise.

Sujet tabou

La communication de crise est encore considérée comme un sujet tabou dans de nombreuses entreprises. De nombreuses entreprises oublient d'adapter les plans de communication de crise existants aux nouveaux canaux de communication. Ce qui est encore plus important : Il n'est pas rare que la culture d'entreprise ne soit pas repensée, ce qui rendrait possible, en cas de crise, un dialogue ouvert, loyal et apaisé avec des actionnaires en colère.

Par peur des vagues de protestation qui se propagent dans les médias sociaux, on procède selon le principe de "l'autruche". Les entreprises gaspillent le potentiel de communication de Twitter, Facebook ou Youtube parce qu'elles craignent d'être victimes d'un shitstorm incontrôlable à deux heures et demie du matin, lorsque leur propre service de communication dort. La réflexion de faire le mort en ligne devient une décision de management consciente - dans la croyance aussi fausse qu'irréfutable que la seule non-présence dans les médias sociaux permet de se protéger de leur potentiel d'attroupement. Pourtant, la tempête de critiques lancée par Greenpeace contre le groupe alimentaire Nestlé devrait avoir montré à chaque dirigeant que cette stratégie échoue lamentablement en temps de crise. En 2010, l'organisation environnementale Greenpeace a lancé une campagne contre le produit Kitkat de Nestlé, car ce dernier utilise de l'huile de palme provenant d'Indonésie et cultivée sur des surfaces de forêt tropicale défrichées. L'Indonésie présente l'un des taux de destruction des forêts primaires les plus élevés au monde. Après le lancement de la campagne de Greenpeace, Nestlé avait d'abord tenté de retirer la protestation du réseau par le biais d'avocats : une stratégie de force et de menace qui aurait peut-être encore pu être efficace dans les médias imprimés. Mais en ligne, cette démarche était forcément vouée à l'échec. Au final, Nestlé a dû céder et réorganiser sa production.

La carte mondiale des risques a énormément évolué ces dernières années. Les temps sont devenus tout sauf ennuyeux pour les gestionnaires de risques. Les entreprises devraient à l'avenir s'intéresser de plus près à la gestion de crise. L'instrument de gestion de crise doit rester un "document vivant" et les exercices des cellules de crise devraient être réalisés au moins une fois par an avec un scénario sérieusement préparé et analysé en profondeur.