La cybersécurité était le thème principal de la conférence Risk-!n 2026 à Zurich. Les experts de l’industrie ont été unanimes : ceux qui continuent à laisser les cyber-risques au seul service informatique font preuve de négligence.
Filip Talac, PDG de Quantum Fort SA, a ouvert son intervention lors de la huitième édition de la conférence Risk-!n 2026 par une histoire qui a suscité le silence dans la salle. L’année dernière, une entreprise de bière a perdu 4,2 millions de dollars en un seul après-midi, non pas à cause d’un pare-feu défaillant, mais parce que le directeur financier s’est fait avoir par un faux e-mail du chef d’entreprise et a effectué un virement. Le service informatique avait fait son travail de manière impeccable. L’échec était un échec de gouvernance, pas un échec technique.
C’est précisément l’argument central de Talac : la cybersécurité a été mal encadrée pendant des décennies. En la traitant comme un problème informatique, on obtient des solutions informatiques : plus d’alertes, plus de complexité, plus d’outils. Aujourd’hui, une entreprise moyenne exploite entre 60 et 80 outils de sécurité, et pourtant le coût des violations de données atteint des niveaux records dans le monde, avec une moyenne de 4,9 milliards de dollars par incident.
Le langage des dirigeants
Talac est particulièrement critique en ce qui concerne la communication entre l’informatique et le conseil d’administration. Lorsqu’un RSSI parle de « CVE-2024-12345 » et de « 847 alertes en attente », personne dans la salle, à part lui-même, ne comprend quelles décisions devraient être prises. Les dirigeants gèrent en fonction des résultats de l’entreprise, pas en fonction des métriques informatiques. Les bonnes questions sont les suivantes : Quelle exposition pourrait nous être la plus préjudiciable ? Qui décide de quoi et à quelle vitesse lorsque cela se produit ? Et dépensons-nous réellement le bon montant ?
Talac a cité l’exemple d’une entreprise de santé disposant de douze spécialistes de la sécurité, de sept outils de sécurité et d’un budget de plusieurs millions, mais qui ne pouvait pas répondre à la question de savoir qui décidait d’annuler les rendez-vous en cas de défaillance de la base de données. Lorsqu’une attaque de ransomware a eu lieu six mois plus tard, l’équipe informatique a identifié l’intrusion en deux heures. La direction a ensuite débattu pendant onze heures de la stratégie de réponse, trois responsables différents ont donné des instructions contradictoires, et le directeur des opérations a autorisé le paiement de la rançon sans consulter le conseil d’administration.
La quantification l’emporte sur l’intuition
Une autre session de la conférence a approfondi le sujet sous l’angle du financement des risques. Julien Chamonal, Chief Revenue Officer de Citalid, a souligné que les cyber-risques ne deviennent réellement gérables que lorsqu’ils peuvent être exprimés en francs et en euros. Un RSSI qui se bat pour un budget ira beaucoup plus loin avec des réductions de risques quantifiées auprès du CFO qu’avec des couleurs de feu. Serena Fioravanti d’ABN AMRO a présenté la perspective du CRO : au sein de la banque, le cyber-risque est aujourd’hui traité en premier lieu comme un thème de résilience et non comme un risque de capital classique, mais l’évolution va clairement dans le sens de la quantification.
Mark Sweeney de Munich Re l’a résumé du point de vue de l’assureur : Les clients matures sont ceux qui ont fait l’exercice de quantification des risques, car c’est le seul moyen de transférer les risques de manière pertinente. Le message de la conférence était clair : la cybersécurité doit faire partie du conseil d’administration, pas de la salle des serveurs.
Binci Heeb
Lire aussi : LBC Insurance Radar #12 : Cyber, ESG et courtiers en pleine mutation
Recherche :
Sponsors :
