Intervention de Rémi Bottin

Permettez-moi de vous décrire notre quotidien. Nous sommes conseils et courtiers en assurances et travaillons avec nos clients sur la cartographie de leurs risques, ce qui permet de les prioriser et donc de les maîtriser. Une fois nos clients protégés, il demeure un risque résiduel qui peut être transféré à l'assurance. Ensuite, nous gérons les sinistres.

Longtemps, les deux tiers des ETI n'étaient pas assurées pour ce risque. Nous avons travaillé avec elles pour faire remonter ce risque dans leurs priorités, ce qui est désormais enclenché. Elles ont besoin de continuer à se transformer digitalement.

Le hacking est devenu un vrai business. Autre sujet, l'intelligence économique, qui est trop souvent sous-estimée en France. Nous avons besoin de nous poser la question : que faisons-nous pendant les six mois qui séparent l'arrivée du virus et celle de la solution ?

Désormais, depuis trois à six mois, nous ne sommes plus dans le « pourquoi » mais dans le « comment ».

Les priorités sont le cyber, mais aussi la mass supply chain qui implique des risques, car l'approvisionnement a été mondialisé. Ce que nous disons au patron, c'est qu'il doit devenir le premier risk manager et qu'il doit se faire accompagner de plusieurs collaborateurs : son directeur des systèmes d'information (DSI) et son responsable de la sécurité des systèmes d'information (RSSI) bien sûr, mais aussi ses directeurs financier, juridique, de production... en bref, tous ceux permettant de savoir comment l'IT - la technologie de l'information - est inclue dans la chaîne de valeur.

De notre côté, nous devrons mettre autour de la table des spécialistes des assurances et du cyber, de l'IT, des pertes financières et d'image pour construire des solutions de transfert du risque et imaginer les scenarii, se demander quels pourraient être les dégâts... tout cela pour apporter au patron une solution clé en main.

Le premier volet de la réaction doit être de réduire la surface d'attaque : cela passe par des sauvegardes, par des exercices de gestion de crise - car une entreprise est deux fois plus résiliente à une crise si elle s'y est préparée - et par le déploiement des gestes barrière contre les cybermenaces. Ceci doit impérativement être porté par la direction générale.

La solution assurantielle ne pourra être accordée que si l'entreprise s'est protégée. Les assureurs sélectionnent en effet drastiquement leurs clients, car ils ont très peur de ce risque systémique.

Tout cela coûte de l'argent. Il serait utile d'accélérer les actions du plan de relance sur la digitalisation. On pourrait y ajouter un suramortissement. Il faut rattraper le retard et ce rattrapage doit être financé.