Edito - Le risque IT est un risque comme les autres
Gérer le risque peut se faire de deux manières : d'une part en diminuant sa probabilité ou ses conséquences, d'autre part en l'assurant. C'est notamment le cas pour le risque IT.
PublicitéQuand vous prenez votre voiture pour rouler sur une autoroute, à tout moment, vous pouvez avoir un accident. Face à cette réalité objective, certains se réfugient dans le déni, d'autres prennent le train. D'autres, enfin, vont gérer le risque. Première manière de gérer le risque : réduire la probabilité et la gravité des accidents en respectant la limitation de vitesse et les temps de repos, en veillant à une alcoolémie proche de 0, en ayant un véhicule récent avec une carrosserie capable d'absorber les chocs, etc. Si, malgré tout, un accident a lieu, chacun dispose d'une assurance qui permettra de couvrir les conséquences financières comme la réparation ou le remplacement du véhicule. Bizarrement, quand on voyage sur les autoroutes de l'information, l'attitude varie. Et c'est une erreur.
En effet, le risque IT (ou les cyber-risques) est un risque comme les autres. Face à sa croissance, il faut l'aborder comme tous les autres risques. On peut bien sûr, à ses risques et périls, se réfugier dans le déni (et préparer son inscription à Pôle Emploi). On peut aussi choisir de « prendre le train », c'est à dire de confier à d'autres la gestion du risque, au travers du cloud par exemple. Mais les chûtes de caténaires et les grèves peuvent rappeler qu'un risque ne s'externalise jamais totalement : les prestataires SaaS aussi se font pirater ou peuvent connaître des pannes, malgré les beaux contrats et les promesses de mille merveilles. Bien entendu, la réponse fortement majoritaire sera de tenter de réduire la probabilité et les conséquences de la menace. Mesures de cybersécurité, sauvegardes en continue... la panoplie est connue. Encore faut-il rester à la hauteur des défis sans cesse changeant et croissant.
Mais le point qui n'est presque jamais abordé est celui de l'assurance. Or les risques IT aussi s'assurent. Certes, une indemnisation financière ne fera pas revenir les données perdues. Mais les conséquences économiques pourront être indemnisées. Et l'assureur sera aussi de bon conseil pour apprendre à réduire son niveau d'exposition (probabilité et gravité du risque). Ces sujets sont au coeur d'une part de notre prochaine conférence « Sécurité globale de l'IT - De la gestion des risques à la résilience » le 19 novembre 2019 à Paris ; d'autre part du CIO.Focus Les cyber-assurances, un outil au service de la résilience des organisations.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire