D’aucuns disent que la donnée est devenue le pétrole du XXIème siècle. Entreprises, associations, collectivités locales, particuliers … nous détenons, échangeons, exposons tous, de plus en plus, de données à caractère personnel, voire sensibles. Actif immatériel, ces données transitent sur internet ou sont atteignables via des objets connectés : achats en ligne pour les particuliers, réseaux sociaux, logiciels en mode ASP pour les entreprises, serveurs, partages de données ou même de réseaux entre partenaires professionnels, … D’un autre côté, les cyberattaques, protéiformes, qu’elles émanent d’hackers isolés avec demande de rançon ou qu’elles soient étatiques, fleurissent. Chaque nouvelle attaque peut faire l’objet d’un mode opératoire différent des précédentes. La question désormais pour nos acteurs publics ou privés, voire pour nous-mêmes en tant que citoyens, n’est plus : sommes-nous une cible potentielle ? la réponse est évidente. La question est : quelles sont nos vulnérabilités, comment se prémunir contre les risques liés à la donnée et comment quantifier leur impact financier ? L’approche par les risques est la solution.
En effet, il est devenu plus qu’une nécessité, désormais, de prendre en compte les risques liés à la donnée dans nos cartographies : sanctions civiles, pénales, pécuniaires, discontinuité d’activité, atteinte à l’image et à la réputation, …. C’est la première étape : explorer les moindres recoins de nos organisations, le « diable se cachant souvent dans les détails », de notre écosystème, certains attaquants pouvant exploiter nos failles avec nos partenaires, et enfin, quantifier règlementairement puis opérationnellement l’impact des défaillances en fonction des scenarii d’attaque les plus appropriés à l’organisation. Ce volet, au-delà de la quantification financière règlementaire en application des textes de loi en vigueur, passe par la réalisation d’une analyse fine des risques opérationnels propres à chaque organisation, afin de « mettre un montant » en face de chaque risque et de permettre notamment aux organisations de provisionner ces risques.
Cartographier et estimer les risques liés à la donnée d’une organisation requière non seulement une expertise avancée dans de nombreux domaines, mais aussi la capacité à relier deux mondes, celui de la règlementation et celui de l’opérationnel. C’est donc via un audit opérationnel transverse que vous pourrez non seulement extraire les éléments nécessaires à la modélisation de votre exposition financière, mais aussi procéder à l’atténuation de ces risques liés à la donnée sur le plan opérationnel. Supposons un audit portant sur les données des ressources humaines, que ce soit chez un acteur public ou privé : des Curriculum Vitae que l’on garde « au cas où » depuis des années suite à la rencontre d’un candidat au profil intéressant … jusqu’aux « dossiers papiers » qui se transmettent de managers en managers pour suivre les collaborateurs d’une équipe, les données à caractère personnel sont partout …. une revue approfondie doit donc être menée à chaque strate et dans chaque département de l’organisation afin de mettre à jour ces risques, d’analyser réellement le niveau de risques et les impacts qui en découlent pour l’organisation.
L’inventaire des risques sur le terrain étant finalisé, le niveau cible de protection défini, après prise en compte du niveau actuel des mesures potentiellement déjà déployées dans votre organisation pour atténuer ces risques, il est alors envisageable de passer à la dernière étape : l’atténuation des risques. Déjà, des couvertures existent à ce jour, notamment en risques cyber, à ne pas négliger donc, avant de passer au calcul des provisions financières, tout ceci pouvant être répercuté dans vos offres commerciales. L’atténuation de ces risques, encore souvent considérée comme un centre de coûts, devient une ligne du compte de résultat, partie intégrante du modèle économique de l’organisation. Quid de la compétitivité de votre offre commerciale ? La continuité d’activité que vous serez alors en mesure d’offrir à vos clients deviendra non seulement un facteur différenciant, mais surtout une arme concurrentielle.