Le risque est cyber difficilement quantifiable. On ne peut effectivement préjuger de l’étendue réaliste des conséquences d’un événement Cyber. En plus, s’agissant d’un risque systémique, on identifie mal l’effet cumulatif de ce type de risques. Ces caractéristiques singulières posent des questions de fond sur l’approche de la gestion de ce risque singulier : il est extrêmement compliqué, pour un industriel ou une autorité, de dimensionner les ressources et les moyens à allouer face aux menaces Cyber. Le marché de la Cyber sécurité n’en connaît pas moins un développement spectaculaire. Il est clair que plus les moyens alloués à la défense seront importants, plus les attaques pourront être contrées. En matière de Risk Management et au niveau des Dirigeants, la problématique posée est de déterminer comment gérer au mieux ce risque Cyber et se prémunir de conséquences potentiellement désastreuses. Ces caractéristiques, opposées à celles d’un risque Industriel, supposent aussi de mettre au point des réponses globalisées comme par exemple la création de référentiels en matière Cyber Sécurité. Mais face à un risque Cyber aussi particulier et évolutif, est-il réaliste voire légitime de parler de normes, de référentiels ou de contrôle ? Quel référentiel construire dans la durée dans un domaine où les évolutions technologiques sont permanentes ? Sur le terrain des responsabilités, la question s’avère également complexe. Est-il recevable de mettre en cause un industriel pour une faute de conception sur un matériel, au motif d’une vulnérabilité rendue possible bien des années plus tard du fait des évolutions technologiques ?