Si la cybersécurité est déjà une préoccupation majeure pour les entreprises de toutes formes et de toutes tailles, elle peut devenir encore plus problématique si elle est résolue de manière isolée, sans être prise en compte dans le contexte de la gestion des risques de l’entreprise.

Le problème de la cybersécurité

Les cyberincidents représentent sans aucun doute un risque important pour les entreprises aujourd’hui. Si vous lisez n’importe quel rapport sur les « Principaux risques pour les entreprises », il est fort probable que les cyberincidents y figurent.

Par exemple, selon le Baromètre des risques d’Allianz pour 201840 % des répondants à l’enquête ont cité les cyberincidents comme leur principal risque, ce qui en fait le deuxième risque le plus préoccupant de la liste, juste après la continuité des activités. Et il ne s’agit là que d’un rapport sectoriel bien connu.

Vous trouverez des résultats similaires dans le rapport, Perspectives des dirigeants sur les principaux risques 2018co-publié par Protiviti et l’ERM Initiative de l’Université d’Etat de Caroline du Nord, et l’enquête annuelle 2018 du Forum Economique Mondial sur la perception des risques dans le monde. Global Risks Perception Survey (enquête annuelle sur la perception des risques mondiaux) du Forum économique mondial.

La cybersécurité est continuellement mise en avant parce que les cyberattaques et les violations de données augmentent, tout comme les coûts associés à ces événements. En fait, les cyberincidents visant les entreprises ont presque doublé, passant de 82 000 en 2016 à 159 700 en 2017, selon le Cyber Incident and Breach Trends Reportpublié en janvier par l’Online Trust Alliance.

Les coûts estimés associés aux cyberincidents varient considérablement, mais un rapport de 2017 de Lloyds of London, rédigé en collaboration avec la société de modélisation des risques CyenceLa Commission européenne estime qu’une cyberattaque mondiale majeure pourrait entraîner des pertes économiques d’un montant de 53 milliards de dollars. À l’heure actuelle, la faille d’Equifax Inc., qui a compromis les données personnelles de 147 millions de clients en 2017, pourrait être la faille la plus coûteuse de l’histoire.

L’agence d’évaluation du crédit a enregistré 164 millions de dollars de coûts avant impôts au cours du second semestre 2017, et les coûts liés à la violation sont censés augmenter de 275 millions de dollars supplémentaires cette année – ce qui porte les coûts totaux à 439 millions de dollars, selon une conférence téléphonique sur les résultats d’Equifax en mars.

La cybersécurité est A problème, et non LE problème

Si l’on en croit la fréquence croissante et les coûts de plus en plus élevés des cyberincidents, il semble bien qu’il s’agisse d’un problème de grande ampleur. Et c’est le cas. Mais ce n’est pas le seul problème.

À l’instar de tous les risques émergents qui ont précédé la cybernétique et de tous les risques émergents qui la suivront, les cyberincidents ne sont pas isolés. Par conséquent, si vous tentez de résoudre les cyber-risques en vase clos, vous exposerez votre organisation à toute une série d’autres risques.

C’est pourquoi la gestion des risques de l’entreprise dans le cadre de votre gestion intégrée des risques est si importante. La gestion intégrée des risques exige d’une organisation qu’elle se penche sur ses nombreux départements et ses nombreux défis commerciaux, et qu’elle comprenne comment ils sont tous liés.

Il ne s’agit pas simplement d’identifier tous les risques au sein d’une organisation et de les résoudre indépendamment les uns des autres. Il s’agit plutôt de creuser pour voir comment des risques particuliers et des solutions particulières pourraient affecter le risque suivant, le département suivant au bout du couloir ou le processus d’entreprise suivant.

Même isolée, la cybersécurité est un problème complexe qui s’explique par de nombreux autres défis, tels que le nombre croissant d’adversaires désireux de pénétrer le réseau d’une organisation, la surcharge d’applications au sein des organisations et la pénurie endémique de personnel informatique.

En raison de cette complexité, le National Institute on Standards and Technology a élaboré un cadre de cybersécurité. Il s’agit de normes, de lignes directrices et de meilleures pratiques pour gérer les risques liés à la cybersécurité. Il vise à protéger les entreprises et à les rendre plus résilientes en cas de cyberincident.

Toutefois, si l’intégration de la cybersécurité dans votre ERM ou votre programme de gestion intégrée des risques vous semble un exercice périlleux, ou si l’adoption du cadre de cybersécurité du cadre de cybersécurité du NIST Si la gestion des risques peut sembler tout aussi décourageante, il n’est pas nécessaire qu’il en soit ainsi. Investir dans la bonne technologie de gestion des risques peut vous aider.

La gestion intégrée des risques est la solution

Avant tout, la bonne technologie de gestion des risques servira de solution intégrée de gestion des risques qui s’étendra à une variété de départements et de défis commerciaux – visant à être une source unique de vérité dans l’ensemble de l’entreprise.

La technologie de gestion intégrée des risques basée sur le cloud, en particulier, peut faire remonter vos informations pertinentes sur les risques, où qu’elles se cachent dans votre organisation, les analyser, les relier à d’autres données internes et externes, et les normaliser en toute sécurité dans le cloud. Tout cela vous permettra de répondre facilement aux questions critiques de l’entreprise et de concentrer votre attention là où elle est le plus nécessaire, aidant ainsi votre organisation à mettre en œuvre la GRE.

Mais en plus de vous aider à atteindre des objectifs ERM plus élevés, cette technologie peut également vous aider à réduire le nombre d’applications numériques utilisées par votre organisation, ce qui peut réellement améliorer la sécurité.

En fait, la technologie de gestion intégrée des risques peut souvent remplacer les solutions suivantes (et d’autres encore) proposées par certains fournisseurs :

  1. Intelligence économique et analyse
  2. Systèmes de gestion du risque d’entreprise
  3. interne et et Systèmes d’audit interne et opérationnel
  4. Systèmes de gestion de la santé et de la sécurité
  5. Systèmes de gestion du risque fournisseur
  6. Systèmes de continuité des activités

En passant moins de temps à gérer de multiples applications, le service informatique peut réaliser des gains d’efficacité considérables et consacrer plus de temps à la cybersécurité. En outre, moins d’applications signifie probablement moins de risques qu’une ou plusieurs de ces applications soient à l’origine d’une infraction ou d’une non-conformité.

En ce qui concerne la conformité, la bonne technologie de gestion des risques peut également remplacer les systèmes de gestion de la conformité et de la réglementation. les systèmes de gestion de la conformité et de la réglementation-vous aidant à vous conformer à toutes les exigences que vous êtes tenu de respecter ou que vous avez volontairement instituées, y compris celles liées à la cybersécurité. La technologie permet une surveillance cohérente, une mise à jour automatique et des rapports détaillés afin que vous puissiez identifier et contrôler l’ensemble de ces exigences.

En conclusion

Malgré l’avantage que représente la capacité de la technologie de gestion intégrée des risques à alléger les problèmes de conformité, que ce soit en matière de cybersécurité ou autre, il est important de se rappeler qu’il ne s’agit que de la partie émergée de l’iceberg en ce qui concerne les possibilités offertes par la technologie. Ce n’est qu’une petite pièce du puzzle… tout comme les cyber-risques sont une petite pièce du puzzle de la gestion des risques.

Alors que les organisations cherchent à prendre de l’avance sur les cyber-risques et les incidents, il est important qu’elles ne prennent pas de retard dans l’évaluation et la prise en compte des autres risques émergents. Avec le bon état d’esprit et la bonne technologie en place, il est plus facile d’adopter une approche holistique du risque et de traiter efficacement plusieurs risques à la fois pour une meilleure sécurité.