in Sécurité

Cybersécurité : Roland Berger et BSSI lancent une offre commune d’évaluation des risques

Les cyberattaques sensibilisent les entreprises et les acteurs de la finance aux menaces Cyber et à l’importance d’évaluer ces risques.

  • Intégration du risque Cyber dans la définition des profils de risque de crédit établis par les agences de notation internationales
  • Durcissement du cadre réglementaire général et sectoriel : RGPD (protection des données personnelles), NIS (cadre légal pour les opérateurs de service essentiel)
  • Impacts non uniquement financiers : image de marque, risque pénal, mise en danger de ses employés ou de ses clients. 

Les menaces et le contexte réglementaire sont en évolution permanente. Pour un investisseur, la prise en compte du risque Cyber est devenue un critère indispensable dans l’évaluation de sa cible nécessitant une réelle expertise sur le plan technique et réglementaire. Ces enjeux doivent être intégrés et synthétisés à un niveau stratégique afin de permettre la prise de décision.

« L’erreur serait de penser que ces phénomènes ne concernent que des entreprises détenant des informations confidentielles, ayant une forte notoriété, ou opérant dans le domaine de la défense, ou des institutions financières ; néanmoins il s’avère que ces attaques concernent toutes les entreprises, comme nous l’avons vu depuis 2017 avec deux ransomware massifs qui ont eu une portée internationale » précise Jean-Michel CAGIN, Senior Partner chez Roland Berger.

Erwan BROUDER, Directeur Associé chez BSSI, ajoute « Toute entreprise peut être une cible car elle traite de la donnée qui a de la valeur notamment du fait du RGPD, donnée qui devient donc un instrument de chantage pour l’attaquant qui menace de dévoiler la fuite. De plus, les attaques aujourd’hui sont de plus en plus à l’aveugle, en mode ‘carpet bombing’, elles peuvent donc toucher de manière aléatoire n’importe qui, de la start up, à la société du CAC40 en passant par l’ETI. »

Une synthèse stratégique

L’audit du risque Cyber devient un module à part entière de la due diligence afin de sécuriser les prises de participation. La création d’une offre commune permet de combiner l’expertise de Roland Berger pour conduire les dues diligences (plus de 100 due diligences réalisées en 2020 et plus de 50 fonds conseillés) et l’expertise de BSSI sur la cybersécurité (140 missions d’audit et de conseil réalisées en 2020 et une certification par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)).

Analyse stratégique des risques cyber et éléments de décisions

Roland Berger assure le pilotage opérationnel de l’offre en étant l’interlocuteur unique des clients. La parallélisation des travaux permet de ne pas rallonger la durée moyenne de la due diligence dont le diagnostic stratégique réalisé par Roland Berger est enrichi des éléments clés de l’audit Cyber conduit par les experts BSSI.

L’analyse livrée comporte l’évaluation des risques (probabilité, impacts) et des moyens de mitigation, ainsi que la priorisation des investissements Cyber au regard des autres éléments analysés (financier, organisationnel, juridique etc…).

L’audit du risque cyber est réalisé selon 8 axes pour une couverture optimale des risques :

  • Sécurité des infrastructures et applications
  • Contrôle des accès
  • Sécurité physique
  • Programmes de sensibilisation et formation
  • Relations fournisseurs
  • Gestion des incidents
  • Politiques et procédures de sécurité
  • Processus de sauvegarde et plans d’urgence

Trois niveaux d’audit complémentaires

L’audit du risque cyber est à destination des acquéreurs (évaluation de la cible) et des détenteurs (valorisation de l’actif). Il est réalisable durant les différentes phases d’investissements, à trois niveaux::

  • Audit flash : Evaluation permettant d’atteindre un niveau de sécurité sur les principaux risques en limitant les interactions avec la cible
  • Audit complet : Evaluation à 360° incluant les vérifications techniques
  • Audit récurrent : Vérification de la couverture des recommandations de l’audit complet + surveillance de l’entreprise depuis internet 

Au-delà de l’audit cyber réalisé lors de la phase de due diligence, des audits périodiques sont recommandés pour sécuriser l’investissement dans la durée.

Un label pour illustrer le niveau de cybersécurité

Le label MCE est une note de 0 à 10 présentant le niveau de maturité en cyber sécurité. Nos audits ont donné lieu à une note moyenne de 4,7 dans tous les secteurs confondus. A moins de 7, nous considérons que les problèmes de sécurité identifiés engendrent des risques très élevés pour l’entreprise.

Une plateforme pour suivre les plans d’actions et l’indice MCE

L’offre de Roland Berger et BSSI comprend la mise en place d’une plateforme de suivi de l’indice MCE pour le fond et ses participations :

  • Un tableau de bord général pour le fond permettant d’avoir une vue générale sur l’indice MCE et une vue détaillée par participation
  • Un tableau de bord spécifique pour chacune des participations permettant de suivre les plans d’actions et les modifications de l’indice MCE
Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.