18 décembre 2020

Roland Berger et BSSI lancent une offre commune d’évaluation des risques

Communiqué de Presse

Jeudi 17 décembre 2020

Les cyberattaques sensibilisent les entreprises et les acteurs de la finance aux menaces Cyber et à l’importance d’évaluer ces risques.

  • Intégration du risque Cyber dans la définition des profils de risque de crédit établis par les agences de notation internationales;
  • Durcissement du cadre réglementaire général et sectoriel : RGPD (protection des données personnelles), NIS (cadre légal pour les opérateurs de service essentiel);
  • Impacts non uniquement financiers : image de marque, risque pénal, mise en danger de ses employés ou de ses clients.

Les menaces et le contexte réglementaire sont en évolution permanente. Pour un investisseur, la prise en compte du risque cyber est devenue un critère indispensable dans l’évaluation de sa cible nécessitant une réelle expertise sur le plan technique et réglementaire. Ces enjeux doivent être intégrés et synthétisés à un niveau stratégique afin de permettre la prise de décision.

« L’erreur serait de penser que ces phénomènes ne concernent que des entreprises détenant des informations confidentielles, ayant une forte notoriété, ou opérant dans le domaine de la défense, ou des institutions financières ; néanmoins il s’avère que ces attaques concernent toutes les entreprises, comme nous l’avons vu depuis 2017 avec deux ransomware massifs qui ont eu une portée internationale » précise Jean-Michel CAGIN, Senior Partner chez Roland Berger.

Erwan BROUDER, Directeur Associé chez BSSI, ajoute « Toute entreprise peut être une cible car elle traite de la donnée qui a de la valeur notamment du fait du RGPD, donnée qui devient donc un instrument de chantage pour l’attaquant qui menace de dévoiler la fuite. De plus, les attaques aujourd’hui sont de plus en plus à l’aveugle, en mode ‘carpet bombing’, elles peuvent donc toucher de manière aléatoire n’importe qui, de la start up, à la société du CAC40 en passant par l’ETI. »

Une synthèse stratégique

L’audit du risque Cyber devient un module à part entière de la due diligence afin de sécuriser les prises de participation. La création d’une offre commune permet de combiner l’expertise de Roland Berger pour conduire les dues diligences (plus de 100 due diligences réalisées en 2020 et plus de 50 fonds conseillés) et l’expertise de BSSI sur la cybersécurité (140 missions d’audit et de conseil réalisées en 2020 et une certification par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)).

Analyse stratégique des risques cyber et éléments de décisions

Roland Berger assure le pilotage opérationnel de l’offre en étant l’interlocuteur unique des clients. La parallélisation des travaux permet de ne pas rallonger la durée moyenne de la due diligence dont le diagnostic stratégique réalisé par Roland Berger est enrichi des éléments clés de l’audit Cyber conduit par les experts BSSI.

L’analyse livrée comporte l’évaluation des risques (probabilité, impacts) et des moyens de mitigation, ainsi que la priorisation des investissements Cyber au regard des autres éléments analysés (financier, organisationnel, juridique etc…).

L’audit du risque cyber est réalisé selon 8 axes pour une couverture optimale des risques :
– Sécurité des infrastructures et applications
– Contrôle des accès
– Sécurité physique
– Programmes de sensibilisation et formation
– Relations fournisseurs
– Gestion des incidents
– Politiques et procédures de sécurité
– Processus de sauvegarde et plan d’urgence

Trois niveaux d’audit complémentaires

L’audit du risque cyber est à destination des acquéreurs (évaluation de la cible) et des détenteurs (valorisation de l’actif). Il est réalisable durant les différentes phases d’investissements, à trois niveaux :

  • Audit flash : Evaluation permettant d’atteindre un niveau de sécurité sur les principaux risques en limitant les interactions avec la cible
  • Audit complet : Evaluation à 360° incluant les vérifications techniques
  • Audit récurrent : Vérification de la couverture des recommandations de l’audit complet + surveillance de l’entreprise depuis internet

Au-delà de l’audit cyber réalisé lors de la phase de due diligence, des audits périodiques sont recommandés pour sécuriser l’investissement dans la durée.

Un label pour illustrer le niveau de cybersécurité

Le label MCE est une note de 0 à 10 présentant le niveau de maturité en cyber sécurité. Nos audits ont donné lieu à une note moyenne de 4,7 dans tous les secteurs confondus. A moins de 7, nous considérons que les problèmes de sécurité identifiés engendrent des risques très élevés pour l’entreprise.

Une plateforme pour suivre les plans d’actions et l’indice MCE

L’offre de Roland Berger et BSSI comprend la mise en place d’une plateforme de suivi de l’indice MCE pour le fond et ses participations :

  • Un tableau de bord général pour le fond permettant d’avoir une vue générale sur lindice MCE et une vue détaillée par participation
  • Un tableau de bord spécifique pour chacune des participations permettant de suivre les plans d’actions et les modifications de l’indice MCE

A propos de BSSI

Cabinet de conseil et d’audit en cybersécurité.                                                   ,
BSSI accompagne les grands comptes, ETI et PME des secteurs du luxe, de la banque, de l’industrie, des services, et les organismes gouvernementaux depuis 2011. La mission de BSSI est d’identifier et maîtriser les risques cyber. Nos experts réalisent différentes missions pour sécuriser les systèmes d’information de nos clients : gouvernance, conformité, sécurité opérationnelle, audit et conseil.
Certifié PASSI, BSSI est membre des associations Club EBIOS et CLUSIF, et participe à l’élaboration du Panorama de la cybercriminalité. Labellisé HappyAtWork©, le cabinet est implanté sur les 4 continents à travers 10 bureaux. Pour plus d’informations : https://bssi.fr/ LinkedIn et twitter : @BSSI_Conseil

A propos de Roland Berger

Fondé en 1967, Roland Berger est le seul cabinet de conseil de Direction Générale d’envergure internationale et d’origine européenne. Avec 2 400 employés dans 35 pays, le cabinet est présent sur tous les grands marchés internationaux. Les 52 bureaux sont situés dans les principaux centres d’affaires mondiaux. Implanté en France depuis 1990, le bureau de Paris, avec près de 300 collaborateurs, conseille les plus grandes entreprises internationales ainsi que les institutions publiques, sur l’ensemble de leurs problématiques, du conseil stratégique à la mise en œuvre opérationnelle. Pour plus d’information : https://www.rolandberger.com/fr/ Suivez Roland Berger sur twitter : @RolandBerger

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *