Comment définir et distinguer le risque informatique de la cybersécurité ?
D’après l’APCR (Autorité de contrôle prudentiel et de résolution) et la Banque de France, le risque informatique correspond au « risque de perte résultant d’une inadéquation ou d’une défaillance des processus d’organisation, de fonctionnement, ou de sécurité du système, entendu comme l’ensemble des équipements systèmes et réseaux, des logiciels et des données, ainsi que des moyens humains contribuant au traitement de l’information. La définition s’inscrit dans la logique du risque opérationnel, puisque le risque se matérialise par une perte (ou une quasi-perte, un coût d’opportunité, un gain indu ou des surcharges de coût). »
La cybersécurité est définie comme « l’ensemble des contrôles et des mesures d’organisation, ainsi que des moyens (humains, techniques, etc.) utilisés pour protéger les éléments du système d’information et des réseaux de communication contre toutes attaques logiques, que celles-ci soient conduites par le biais de brèches de sécurité physique ou logique.
Ces contrôles et mesures incluent la prévention, la détection et la réponse à toute activité informatique malicieuse ou à toute négligence, qui pourrait affecter la confidentialité, l’intégrité ou la disponibilité des systèmes et des données, de même que la traçabilité des opérations effectuées sur ce système et ces réseaux. »
Source : Le risque informatique, ACPR, Banque de France.