Interview avec Maya Bundt

swissVR Monitor : Quelles sont les dernières évolutions ou tendances en matière de cyberattaques dirigées contre des entreprises ?

Maya Bundt : Si l’on consulte les statistiques du NCSC (Centre national pour la cybersécurité), la fraude se situe, de loin, en tête de liste. Elle concerne aussi bien les particuliers que les entreprises et depuis des années, il s’agit là du sujet de préoccupation absolu.

D’autres attaques sont toutefois beaucoup plus médiatisées. Depuis quelques années, ce sont surtout les attaques par ransomware, avec ou sans vol de données, qui occupent le devant de la scène. Les criminels cryptent les données de l’entreprise au moyen de logiciels malveillants, appelés rançongiciels ou ransomwares, et exigent ensuite une rançon.

Depuis peu, il n’est pas rare que des données soient aussi dérobées dans la foulée et qu’ensuite, les auteurs de l’attaque menacent de les publier. Ces menaces accroissent la pression sur les entreprises pour qu’elles paient.

Enfin, des attaques par « déni de service distribué » (attaques DDos pour Distributed Denial of Service) ont de nouveau été récemment rendues publiques. Elles consistent, par exemple, à bombarder des pages web publiques de demandes massives de données pour les rendre inaccessibles aux clients. C’est ce que nous avons pu constater en juin, lorsque divers services de la Confédération et des CFF sont tombés en panne pendant quelques heures.

swissVR Monitor : Quel est le rôle du conseil d’administration en matière de cyberrésilience ?

Maya Bundt : De manière générale, le conseil d’administration définit les grandes lignes de la gestion durable de l’entreprise dans l’intérêt de ses propriétaires. La cyberrésilience en fait également partie. À cet égard, le CA doit évaluer les opportunités et les risques liés à la numérisation pour l’entreprise et les activités commerciales. Il est important de comprendre que la sécurité absolue n’existe pas ! Aussi, cela signifie qu’il faut non seulement prendre des mesures de protection classiques mais aussi en adopter d’autres qui favorisent la détection des intrus. Par ailleurs, il est nécessaire de se préparer aux situations d’urgence afin de pouvoir sortir d’une situation de crise le plus rapidement possible et sans préjudice.

Il incombe au conseil d’administration de veiller à ce que la gestion des risques, l’organisation et le budget soient mis en œuvre de sorte à permettre à l’entreprise de se protéger contre les cyberrisques en fonction de son modèle d’entreprise et de survivre à un cyberincident

swissVR Monitor : Quelles sont les mesures que vous conseillez aux conseils d’administration en matière de cyberrésilience ?

Maya Bundt : Il est important que le conseil d’administration ne circonscrive pas uniquement les cyberrisques ou les risques numériques au domaine informatique, mais qu’il les considère comme des sujets de premier ordre sur le plan stratégique et pour l’entreprise dans son ensemble. En effet, les grandes décisions stratégiques ont quasiment toujours un impact sur la cyberempreinte de l’entreprise, qu’il s’agisse d’une expansion sur un nouveau marché, d’activités de fusion et d’acquisition, de participation à un écosystème numérique ou, plus généralement, de la poursuite de la transformation digitale.

En outre, le conseil d’administration doit comprendre où se situent les principaux cyberrisques dans l’entreprise, doit connaître leur ampleur et doit savoir comment les éviter, les atténuer ou les transférer. À cet égard, il est également important de déterminer l’appétit au risque, car c’est la seule façon de prendre des décisions fondées sur des faits, qu’il s’agisse, par exemple, de déterminer comment la cybersécurité doit être organisée dans l’entreprise ou la nécessité de souscrire une cyber-assurance.

Je préconise toujours au conseil d’administration de rencontrer la personne responsable de la sécurité de l’information, généralement le CISO (Chief Information Security Officer). Le connaître présente plusieurs avantages. Premièrement, le fait qu’il y ait un CISO signifie qu’il existe quelqu’un qui s’occupe à plein temps de la sécurité de l’entreprise. Deuxièmement, les questions stratégiques et opérationnelles liées à la cybersécurité sont davantage mises en avant si le CISO participe régulièrement aux réunions du conseil d’administration. Troisièmement, le conseil d’administration peut ainsi bâtir une relation avec cette personne clé. Ces liens sont tout aussi importants à mes yeux que ceux avec la direction générale des risques ou des ressources humaines.

Le conseil d’administration devrait également réfléchir à la manière de renforcer la cyberexpertise au sein de l’organe, en suivant par exemple une formation continue sur le sujet ou en comptant sur la présence de membres intéressés par les questions « cyber ». Je pense que, de nos jours, les membres de conseils d’administration devraient avoir des connaissances de base sur le sujet. Par ailleurs, grâce à des connaissances approfondies et, surtout, un intérêt pour la question, il est possible d’éviter de noyer le sujet dans le flot des thématiques traitées par le conseil d’administration et de s’assurer qu’il y aura toujours quelqu’un pour poser les questions pertinentes.

swissVR Monitor : Selon vous, sous quelle forme les informations relatives à la cyberrésilience doivent-elles être présentées au conseil d’administration ?

Maya Bundt : De nombreuses entreprises traitent de la question des cyberrisques surtout au sein d’un comité, généralement le comité des risques ; mais il existe aussi parfois un comité chargé des questions technologiques et de la cybersécurité. C’est un point important, car les comités disposent généralement de davantage de temps pour traiter de ces questions par rapport au CA dans son ensemble et les membres des comités concernés peuvent se pencher encore plus en profondeur sur la question.

En règle générale, les rapports doivent être pertinents, compréhensibles et adaptés au CA. Il est souvent utile que le CISO ne se perde pas dans des détails techniques, mais offre un aperçu général des risques et de la manière de les gérer d’un point de vue opérationnel. Outre les informations et les KPI spécifiques à l’entreprise, il est souvent intéressant et utile pour le conseil d’administration d’inclure un tableau général de la situation et des éléments de comparaison avec d’autres entreprises.

swissVR Monitor : Que pensez-vous des assurances contre les cyberrisques ? Dans quels cas sont-elles utiles ?

Maya Bundt : Il convient en premier lieu de noter que les cyber-assurances font partie intégrante de la gestion des cyberrisques mais ne peuvent jamais s’y substituer. J’ai froid dans le dos lorsque j’entends des déclarations telles que : « Nous n’avons pas besoin de nous préoccuper de notre cybersécurité. Il suffit de souscrire une assurance. » Non, ça ne marche pas du tout comme ça. Aujourd’hui, je suis aussi certaine qu’aucune assurance ne proposerait une police à une entreprise qui n’aurait pas mis en œuvre un minimum de mesures de cybersécurité.

La gestion des risques consiste notamment à prévenir, atténuer, transférer ou accepter les risques. Pour pouvoir souscrire une assurance à bon escient, il faut par conséquent comprendre les risques et les avoir quantifiés dans une certaine mesure avant de décider de céder ou non une partie du risque résiduel à une assurance. Ce qui est transféré après les mesures d’atténuation du risque, c’est la part excédant encore l’appétence au risque définie. Mais il existe aussi certaines entreprises qui, après avoir mené de telles réflexions, décident ensuite de ne pas souscrire de cyber-assurance.

Les cyber-assurances incluent souvent des services qui apportent une aide concrète aux assurés en cas d’urgence. Par exemple, si une entreprise est victime d’une attaque par ransomware, elle peut appeler un numéro d’urgence et obtenir rapidement le soutien nécessaire pour faire face à cette situation de crise. Pour certaines entreprises, ce service peut tout à fait constituer un argument en faveur d’une cyber-assurance.