Les répercussions d’une attaque cyber peuvent être fatales. Comment y faire face ? Comment pouvons-nous vous accompagner au mieux à ce sujet ?
Olivier Ducré répond à ces questions dans cet article publié dans le supplément de magazine de l’ANDRH n°623 de Mars/Avril 2023.
Retranscription de l’article :
Cybersécurité : l’acculturation des RH au cœur des enjeux des entreprises
Les répercussions d’une attaque cyber peuvent être fatales. Au-delà des pertes financières induites pour une entreprise, des impacts collatéraux peuvent être tout aussi dommageables. Face aux différents aspects de ce risque, l’assurance cyber s’est fortement développée depuis quelques années pour mieux accompagner les différentes parties prenantes y compris les ressources humaines. Le point avec Olivier Ducré – Responsable technique et développement à Chesneau.
Pouvez-vous nous rappeler votre positionnement et vos principaux métiers ?
Nous sommes une entreprise familiale créée en 1974. Aujourd’hui, nous comptons trois implantations en France à Nantes, à Bordeaux et Paris. Nous accompagnons actuellement plus de 2000 entreprises soit 180 000 assurés, principalement dans le domaine du courtage en assurance collective. Notre cœur de métier est la Protection Sociale Complémentaire (santé, prévoyance, retraite supplémentaire) en entreprise, mais nous avons également développé une position de spécialistes en gestion des risques assurantiels. Cela nous amène à apporter des considérations techniques et stratégiques sur des sujets comme la cybersécurité.
Nous concevons des solutions pour nos clients autour de 4 grands axes liés à leur activité : dommages, responsabilités, risques clients… Et cybersécurité.
Depuis 2022, Chesneau s’est aussi positionné sur le segment du « Risk Management ». Qu’en est-il ?
Avec cette nouvelle offre, l’idée est d’apporter une expertise structurée aux ETI et en PME en croissance sur les risques émergents, et notamment le risque cyber. On le voit aujourd’hui : les attentes des entreprises sont fortes sur ce sujet, mais les connaissances sont encore trop lacunaires pour qu’elles puissent mettre en place des solutions efficaces.
Depuis plusieurs années, nous assistons nos clients dans leur acculturation progressive aux risques sociaux émergents (harcèlement, troubles psychosociaux), au risque managérial, le risque image ou d’employeur, le non-respect des règles en matière de droit social et de droit du travail…
Au-delà, nous accompagnons de plus en plus nos clients autour du risque cyber. Jusqu’à récemment, c’était essentiellement les grandes entreprises, fortes de leurs importants moyens financiers et des ressources allouées en interne, qui prenaient en compte ce risque et souscrivaient à des assurances dédiées à ce risque.
Toutefois, malgré la baisse continue du nombre de cyberattaques, on observe depuis deux ans un taux de souscription encore faible. Ce phénomène s’explique notamment par le durcissement des conditions de souscription. Aujourd’hui si 100 % des entreprises sont couvertes sur l’incendie, seules 1 % à 1,5 % des PME françaises sont couvertes en cyber.
Comment accompagnez-vous les entreprises dans la gestion des risques cyber ?
Pour surmonter les risques cyber, nous accompagnons les ETI et les PME essentiellement dans la compréhension des attentes des assureurs pour la couverture de ce risque. Il s’agit, bien évidemment, d’étudier en profondeur les défaillances et les problèmes existants au niveau des systèmes d’information des entreprises, et construire une stratégie pertinente et efficace pour prévenir contre ce risque.
Dans ce cadre, Chesneau propose un accompagnement en trois phases. D’abord le diagnostic de la maturité cyber de l’entreprise grâce un outil complet. Nous les aidons à cerner tous les risques qui les concernent. Ensuite, nous menons un travail d’analyse qui permet d’interrompre leurs activités en analysant leur exposition tant sur le plan financier que sur le plan humain.
Les entreprises nécessitant alors un accompagnement technique, Chesneau propose l’assistance d’une ESN. En effet, nous nous appuyons sur l’expertise d’une ESN qui met son réseau de spécialistes en sécurité informatique à la disposition des sociétés de toutes tailles pour sécuriser leurs SI, leur gouvernance et leur pilotage. Elle procède à un diagnostic complet des SI des entreprises à travers un audit des mesures de sécurité et de prévention. Cela permet, ultérieurement, aux entreprises de formaliser un roadmap pour la sécurisation de leurs systèmes informatiques.
L’idée de ce service est de permettre aux clients d’être le plus réaliste et d’inscrire les employés dans la politique de prévention de l’entreprise.
En dernier lieu, grâce à une vision précise des besoins de nos clients, nous construisons la solution d’assurance avec nos clients en adaptant les franchises, le montant maximal de l’indemnisation possible.
Sur ces enjeux et questions, comment vous différenciez-vous ?
Nous avons noté que le facteur humain est plus sensible aux attaques cyber que les SI eux-mêmes. Nous déployons donc une méthode fondée sur la compréhension fine des comportements internes et de l’impact psychologique des risques dans l’entreprise.
Dans ce sens, la couverture ne suffit plus. Il faut aussi une prévention. Nous misons surtout sur le développement d’une culture du risque et de la résilience cyber-résiliente des entreprises. L’idée est d’offrir aux clients la capacité de s’organiser au mieux dans la gestion de ce risque et de savoir prévenir les incidents de cybersécurité, s’y faire face et se rétablir. Pour ce faire, nous invitons les services RH et les DSI à impliquer l’ensemble des collaborateurs dans la protection des SI de l’entreprise. Cela permet, à tous les niveaux de l’entreprise, de minimiser les erreurs et les négligences, de protéger les données et de ne pas soumettre les mots de passe ou l’accès aux données confidentielles.
Pour conclure, la spécificité de notre accompagnement réside également dans notre connaissance approfondie des enjeux sociaux, RH et de conformité, qui sont aujourd’hui partie intégrante des matrices de risques. Pour chaque nouveau cas, nous mettons en œuvre des solutions sur mesure en nous appuyant sur un réseau d’experts pour faire aux besoins des entreprises.
