Les responsables de la gestion des risques en Europe et dans le monde subissent déjà les conséquences de la guerre en Ukraine et des sanctions imposées aux acteurs russes et biélorusses, ou cela ne saurait tarder. Si vous ne l’avez pas encore fait, voici les mesures de gestion des risques à prendre immédiatement. (Remarque : vous trouverez dans cet article de blog complémentaire les mesures de cybersécurité à mettre en œuvre)

  • Élaborer des plans pour maintenir la résilience des unités commerciales exposées à la zone de conflit. Que feriez-vous si votre principal fournisseur de cloud hyperscaler ne pouvait plus fournir de services aux unités commerciales basées dans la zone de conflit ou à proximité, ou bien s’il faisait l’objet de sanctions ou si ses opérations commerciales étaient directement impactées dans cette zone ? Les clients de Forrester ayant des activités au Belarus, en Russie ou en Ukraine peuvent être confrontés à ce scénario. Les gestionnaires de risques, les DSI et les responsables informatiques doivent examiner d’urgence leur dépendance aux principaux fournisseurs informatiques dans la région, et évaluer rapidement leur capacité à changer de fournisseur, en cas de besoin. Réévaluez les plans de continuité des activités, les dispositions de la chaîne d’approvisionnement et les solutions de rechange locales ou mondiales. Vérifiez que certains managers sont habilités à prendre rapidement ces décisions, si nécessaire. 
  • Expliquez les risques accrus à votre personnel.  Donnez à vos employés les moyens de vous aider. Assurez-vous que chaque membre de votre entreprise soit conscient des attaques potentielles et de la forme qu’elles peuvent prendre. Vos messages doivent être factuels et concis pour éviter de susciter une peur inutile. Veuillez à exprimer votre empathie dans vos messages, en particulier si vous avez des employés qui peuvent être personnellement touchés par l’événement. Formez vos employés pour contrer efficacement d’éventuelles attaques par hameçonnage. Ce n’est pas le moment d’augmenter le stress de vos employés avec des simulations d’hameçonnage inutiles, car toute campagne irréfléchie ne peut que nuire à votre marque et à votre bonne volonté. 
  • Préparez-vous à subir de nouvelles perturbations sur supply chain. Alors que les difficultés de la supply chain mondiale semblaient s’atténuer, la guerre en Ukraine a porté un nouveau coup au système. Les entreprises doivent se préparer à des pénuries, des ruptures d’approvisionnement et des sanctions qui déstabiliseront les chaînes d’approvisionnement pendant au moins 24 mois. Étant donné que la Russie fournit plus d’un tiers du gaz naturel consommé en Europe et qu’elle est le deuxième exportateur mondial de pétrole, que l’Allemagne a déjà annulé l’approbation du gazoduc Nord Stream 2, vous vous préparez probablement déjà à une hausse des prix du carburant et à d’éventuelles pénuries. Étant donné que l’Union européenne a fermé son espace aérien à tous les vols russes, et que FedEx et UPS ont (à l’heure où nous écrivons ces lignes) interrompu leurs expéditions vers la Russie et l’Ukraine, il faut s’attendre à une augmentation des coûts et à des perturbations dans les transports de marchandises et de voyageurs. En outre, la guerre en Ukraine va également exacerber la pénurie de puces électroniques: les gaz xénon et néon sont tous deux indispensables pour fabriquer des semi-conducteurs, et l’Ukraine produit environ 70 % du total mondial de ces deux gaz. La liste ne s’arrête pas là. La Russie et l’Ukraine représentent ensemble 25 % des exportations mondiales de blé. 
  • Vous pouvez dès maintenant commencer à cartographier votre chaîne d’approvisionnement de niveau 1 et en aval.  Qu’un événement physique se produise ou non, les cyberattaques ont déjà commencé contre les services financiers et gouvernementaux ukrainiens. Mais il ne faut pas s’y tromper. Même les entreprises qui n’ont pas (ou ne savent pas qu’elles ont) de fournisseurs essentiels dans la région seront prises dans le collimateur de cette guerre numérique et, éventuellement, physique. Les entreprises doivent immédiatement commencer à cartographier l’écosystème des relations avec les opérations, les actifs, les données ou les dépendances dans la région (carburant, métaux, gaz industriels, maïs et blé). Plus de 3 300 entreprises américaines et européennes ont des fournisseurs de premier niveau en Russie, et plus de 650 entreprises américaines et européennes ont des fournisseurs de premier niveau en Ukraine. Si vous ne l’avez pas encore fait, commencez à cartographier vos fournisseurs de niveau 1, 2 et 3 pour évaluer l’impact potentiel sur la chaîne d’approvisionnement en aval. Préparez-vous à une nouvelle vague de cyberattaques contre vos fournisseurs et finalisez vos plans d’urgence. 

Ce que vous pouvez faire ensuite 

Après les étapes ci-dessus, voici quoi d’autre vérifier : 

  • Surveillez l’évolution rapide des sanctions qui nécessiteront des modifications de votre écosystème de tiers. Sous l’effet des sanctions, les vérifications préalables pour décider de travailler ou non avec un client, un partenaire, un vendeur ou un fournisseur viennent de se compliquer. Les États-Unis ont déjà imposé une sanction sur les nouveaux investissements, le commerce et la finance dans les régions ukrainiennes de la République populaire de Donetsk et de la République populaire de Louhansk. À l’heure où nous écrivons ces lignes, l’Australie, l’Union européenne, le Japon, la Nouvelle-Zélande, la Suisse, Taïwan, le Royaume-Uni et les États-Unis ont imposé des sanctions sur le système financier, le commerce et l’accès aux semi-conducteurs de la Russie, ont interdit l’accès aux nouveaux comptes bancaires suisses des entreprises et des personnes sanctionnées, et ont exclu plusieurs banques russes du système SWIFT (les coupant ainsi du système financier mondial). Partez du principe qu’il y aura d’autres sanctions. Soyez proactif en vérifiant que les tiers, y compris les partenaires, les filiales étrangères et les clients, n’ont pas de liens avec la Russie, les oligarques russes, les États séparatistes d’Ukraine et le Belarus. 
  • Examinez attentivement les termes et conditions de votre police Cyber Insurance. Les polices d’assurance de biens et de responsabilité civile comportent généralement une clause d’exclusion en cas de guerre. Les polices d’assurance cybernétique autonomes peuvent également contenir des clauses relatives à la couverture offerte lorsqu’une attaque est considérée comme une action cyber-terroriste. Depuis au moins 2020, les cyber-assureurs refusent de payer les sinistres liés aux attaques attribuées à des acteurs parrainés par un État. Lloyd’s of London a notamment ajouté un libellé plus étendu à ses polices et à celles de ses syndicats, excluant la couverture des cyber-attaques considérées comme le résultat direct ou indirect d’un acte de guerre ou d’une cyber-opération. La couverture explicite de votre police est déterminante. De plus en plus, l’époque du silence sur le cyber-environnement est révolue. Les polices d’assurance pourront désormais mentionner spécifiquement les facteurs cyber, et ajouter des clauses concernant les risques d’exposition. Travaillez avec votre équipe juridique ou un avocat indépendant pour obtenir des éclaircissements auprès de votre courtier en cyber-assurance ou du contact chargé de la gestion des sinistres de votre assureur. 
  • Vérifiez par des simulations vos plans de reprise après sinistre (DR) et de haute disponibilité (HA). Compte tenu de la diversité des topologies de vos réseaux (car vous combinez probablement des infrastructures sur site, cloud public et hybrides), il est important non seulement de mettre en place un plan de reprise après sinistre, mais aussi de comprendre comment vous allez mettre en œuvre ce flux de travail. Vérifiez auprès de votre service informatique que les éléments clés de votre plan de reprise (par exemple, sauvegardes fréquentes, coupures et réacheminements de circuits, etc.) ont tous été correctement exécutés. Dans le cas contraire, déterminez les actions requises pour l’actualiser et l’améliorer. Les plans HA peuvent largement atténuer les pertes de fonctionnalités, mais uniquement lorsqu’ils sont activement maintenus et mis à jour. Si votre déploiement HA combine des mesures à froid et à chaud, vérifiez que les mesures à froid ont été correctement entretenues et actualisées, et qu’elles ne seront pas inutiles lorsque vous en aurez besoin. 
  • Définissez l’instabilité géopolitique comme une priorité stratégique dans votre programme de gestion des risques d’entreprise. Compte tenu des externalités, de la lenteur avec laquelle elles se développent, de la rapidité de leur impact réel, les « fluctuations géopolitiques » étaient classées en deuxième position dans le classement Forrester des principaux risques systémiques en 2021 [The Top Systemic Risks]. Cependant en 2022, elles sont descendues à la sixième place des risques systémiques ayant le plus grand impact potentiel sur les entreprises. Vous avez maintenant besoin de réévaluer vos risques géopolitiques et d’une nouvelle analyse d’impact qui intégreront la guerre en Ukraine et tous ses effets en aval. 

Remarque : Heath Mullins, analyste principal, a également contribué à cet article de blog. 

Note : Cet article a été traduit. Langue originale : anglais.