DPEF 2022

Description

Un cyber-risque se définit comme toute atteinte au bon fonctionnement des Systèmes d’Information (SI), basé sur les principes de disponibilité, d’intégrité, de confidentialité, de sécurité, de traçabilité et de non-répudiation ou d’impossibilité de nier. Il peut également s’agir de tentative d’atteinte des SI réalisée dans un but malveillant.

Ce risque vise en particulier les cyber-attaques d’ampleur, avec des conséquences économiques significatives, la fragilisation de la protection des données personnelles, le risque de fraude aux données et enfin le risque de rançon.

Il prend la forme de dégradations ou d’altérations du SI telles que :

• la perte, la fuite, la divulgation ou la dégradation de données ;
• la compromission du SI (perte de confiance) ;
• un défaut de conformité ;
• une perte de souveraineté ou une trop forte dépendance à une solution externalisée.

Les causes peuvent être multiples, accidentelles ou délibérées : acte malveillant, terrorisme, négligence humaine, panne, problèmes techniques ou désordres naturels (inondations…).

Outre les conséquences financières ou d’interruption d’activité (cf supra), la survenance d’un cyber-risque affectant la protection des données pourrait avoir un impact majeur. En effet, la hausse considérable des données collectées et traitées est liée à la forte digitalisation des activités du groupe.

La survenance de ce risque engagerait la responsabilité du groupe, notamment en cas d’atteinte à la vie privée. Cela pourrait entrainer des sanctions administratives et pourrait avoir un impact particulièrement négatif sur la réputation, avec perte de confiance des sociétaires et/ou des partenaires en cas de divulgation.

Enjeux

• Sécuriser les outils informatiques et se prémunir préventivement contre les cyber-risques.
• Protéger les données de toute perte, divulgation, dégradation ou altération.