Devenue le coeur de l’entreprise (ou de l’administration), l’IT se doit d’être résiliente. Toute menace contre l’IT est une menace contre l’existence même de l’organisation. Tous les risques doivent donc être traités et donc, pour commencer, identifiés. Certains risques pourront (ou même devront) être externalisés : c’est le rôle de la couverture de risques par des assureurs. De plus, l’économie numérique est surtout une économie de la confiance. Si les clients perdent leur confiance dans une entreprise, celle-ci peut disparaître. La communication de crise acquiert ainsi, en cas d’incident, un caractère essentiel.
1 Cybersécurité : La sécurité IT n’est jamais garantie. Les entreprises se doivent de s’adapter aux nouvelles menaces ou aux évolutions des menaces. Et réagir de façon efficace.
2 Conformité RGPD : La sécurité des données est une obligation juridique essentielle mais bien insuffisante pour assurer la conformité RGPD. Garantir celle-ci est nécessaire pour éviter de lourdes amendes et une décrédibilisation de l’entreprise auprès de ses clients.
3 Risques sur l’IT : Au-delà de la seule cybersécurité au sens strict, l’IT est soumis à des risques très variés, du risque fournisseur au risque physique (inondations, incendies, rupture physique de réseau…). Ce sont tous ces risques qui doivent être couverts.
4 Cyber-assurances : Contrer un risque peut se faire en externalisant sa couverture et celle de ses conséquences, via une assurance. Mais les assureurs ont leurs exigences propres. Les DSI et RSSI se doivent donc de travailler avec eux et les gestionnaires de risques de leurs propres entreprises.