[DOSSIER] Risques cyber 2/5

Non, le cyber n'est pas un risque exotique

Non, le cyber n'est pas un risque exotique

Le cyber est un risque à fort potentiel pour les assureurs qui voient là une nouvelle matière assurable, plutôt bienvenue dans un contexte atone en risques d’entreprises. Pourtant les portefeuilles tardent encore à se remplir. La vulgarisation de ce risque est un enjeu de taille pour le marché.

Les attaques cyber font désormais partie du quotidien des entreprises. Selon la dernière étude sur la sécurité informatique de PwC, elles ont même augmenté de 51 % en France entre 2014 et 2015. Une hausse d’autant plus remarquable que, dans le même temps, les attaques n’ont progressé que de 38 % au niveau mondial. Pourtant, 55 % des entreprises interrogées par le courtier Marsh à l’automne 2015 ne considéraient pas l’assurance comme une solution à cette menace. Selon une étude conjointe d’Ifop et PwC datant de septembre 2015, moins de 5 % des entreprises françaises ont souscrit une cyber-assuran­ce. Sachant que les enquêtes sur le taux de couverture du risque cyber sont à nuancer en raison du flou qui règne encore sur sa définition. « Certaines entreprises pensent être couvertes par la RC Pro, la garantie tous risques informa­tiques, la fraude, etc. », prévient Astrid-Marie Pirson, expert sinistres TMT (technologies, média, télécom) chez Hiscox. Or, au moment d’un sinis­tre, une entreprise qui se croit protégée peut avoir de mauvai­ses surprises. En 2011, après un piratage de grande ampleur, Sony avait essayé de faire jouer sa RC Pro, sans succès. L’attaque avait entraîné le vol des données personnelles de plus de 77 millions d’utilisateurs et l’indis­ponibilité, pendant plus de trois semaines, d’un service de jeu vidéo en ligne générant un chiffre d’affaires annuel d’environ 450 M€. Paradoxalement, ces chiffres vertigineux ont toutefois un effet contrepro­ductif en matiè­re de sen­si­bilisation au risque cyber. Une entreprise françai­se de taille intermédiaire n’imagine pas pouvoir être exposée aux mêmes risques qu’une multinationale qui manie des millions de données.

« Nous avons beaucoup utilisé les exemples de sinistres aux États-Unis car il s’agissait des seuls dont nous disposions. Cependant, les entreprises françaises ne se sentent pas suffisamment concernées par ces scénarios lointains », développe Guillaume Deschamps, directeur du pôle Finex (lignes financières) chez Gras Savoye. D’où l’importance d’illustrer le risque cyber avec des exemples concrets et adaptés à la typologie de l’entreprise.

« Le mot “cyber” est parfait pour attirer l’attention, mais il a un côté science-fiction qui ne corres­pond pas à la réalité de la menace. Or le cyber n’est pas un risque exotique », argumente Kadi­dja Sinz, ex-directrice générale d’XL Catlin France. Les entre­prises de toutes tailles et de tous secteurs sont victimes d’atta­ques informatiques. Très concrètement. « Le cyber n’est pas qu’un relais de croissance, c’est un risque potentiellement mortel pour les entreprises de toutes tailles », confirme Patrick Duplan, nouveau délégué général de l’Apref (association des professionnels de la réassurance en France). Cet organisme suit de près l’évolution des souscriptions, conscient que le secteur des TPE/PME, s’il se couvrait en masse, contribuerait à la protection de marché.

paralyser pour gagner

Selon la brigade d’enquête sur les fraudes aux technologies de l’information (Befti), les typologies d’attaques qui augmentent le plus en France sont le cryptage de données avec demande de rançon, ou ransomware, et l’attaque par déni de service, lorsque des hackers bombardent un site d’informations pour que les internautes ne puissent pas y accéder ou pour empêcher des données de circuler entre deux entités du site.

Tous concernés

La diffusion du risque à l’ensemble des secteurs est directement liée à l’évolution des typologies d’attaques. « Nos premiers clients furent les assureurs eux-mêmes ! C’est donc la preuve qu’au-delà du relais de croissance que représente le cyber, il y a un besoin identifié », aime ainsi à rappeler Robert Leblanc, président d’Aon France. Les premières entreprises sensibilisées furent effectivement les entreprises finan­cières et plus largement celles qui sont en lien direct avec le consommateur final et qui stockent des informations personnelles. Sur ce risque, le marché s’est d’abord focalisé sur les conséquences d’une fuite de données en matière de responsabilité civile. En France, les opérateurs télécoms, par exemple, sont soumis à un devoir de notification, sous peine d’amende. Et, au-delà de la notification, les entreprises qui font face à des fuites de données personnelles doivent supporter des frais, parfois sous-estimés, qui alourdissent la facture. Ainsi, en cas de fuite de données bancaires, une banque va se retourner contre l’entreprise piratée pour demander le remboursement des frais de création de nouvelles cartes de paiement. Aussi, même avec un nombre restreint de données volées, la facture grimpe rapidement. Puis, sous l’impulsion des risk managers, le marché a pris en compte les craintes des entreprises qui ont des chaînes d’approvisionnement largement robotisées. En 2014, un logiciel malveillant, Havex, a ainsi été découvert et jugé capable d’espionner et de comprendre le fonctionnement de systèmes Scada qui contrôlent et pilotent les infrastructures indus­trielles de plusieurs groupes européens. L’évidence fait son chemin : aucun système informatique ne fonctionne plus en vase clos. En décembre 2014, les systèmes de contrôle industriel d’une aciérie en Allemagne ont ainsi été piratés via la simple réception de courriels. Enfin l’extension de la menace cyber aux plus petites entreprises est liée à la typologie d’attaque qui a accaparé l’attention de tous les spécialistes de sécurité informatique en 2015 : les ransomware qui cryptent les données contenues dans l’ordinateur d’un salarié, avant de demander une rançon en échange de leur restitution. Ces attaques sont lancées de manière automatique. Elles ciblent simultanément des centaines de systèmes informatiques pour trouver une ou plusieurs brèches. Pas besoin d’exercer une activité critique pour en être victime. Or les systè­mes d’information qui défaillent le plus fréquemment sous ces attaques sont justement ceux des entreprises de petite taille qui se retrouvent sous les tirs croisés des hackers. Selon une étude réalisée par Symantec, les PME ont été victimes de 77 % des attaques en France, en 2014. Des petites et moyennes structures qui représentent 98 % des entreprises françai­ses (Insee). Or, les PME sont aussi des entreprises plus vulnérables aux conséquences en cascade d’un piratage.

Qu’est- ce que le risque cyber ?

Il s’agit des atteintes aux systèmes et aux données qui peuvent être consécutives à de nombreux facteurs : un acte malveillant ou terroriste, une erreur (plus de la moitié des attaques sont facilitées par la négligence humaine), une panne, des problématiques techniques, un événement naturel ou accidentel. Quant aux conséquences, elles peuvent englober les dommages corporels, matériels et immatériels, la mobilisation de ressources internes ou externes, susceptibles de susciter des frais, ainsi qu’une atteinte à la réputation. Le périmètre englobe les sous-traitants d’une entreprise donnée.

Les PME sous les tirs croisés

En avril, un transporteur des Landes a été victime d’un piratage via un mail infecté intitulé « scanner@transportguyamier », selon nos confrères de Sud-Ouest. Les pirates demandaient 5 000 €, en Bitcoin (ndlr : monnaie électronique), pour débloquer les données. Et la rançon, que les autorités conseillent de ne pas payer, n’est pas le seul élément qui alourdit la facture. En effet, l’attaque a paralysé l’activité de cette société de 150 salariés. Plus d’accès aux boîtes mails, à la facturation, aux feuilles de route des chauffeurs, aux feuilles de paye, etc. Autant de données à reconstituer. Astrid-Marie Pirson, chez Hiscox, ajoute qu’il faut souvent recourir à des ressources externes, avec des compétences techniques pointues, pour remettre une entre­prise en ordre de marche après une attaque. Un paramètre que les entreprises n’appréhendent pas. « Souvent, quand on parle de cyber-assurance à une entreprise, elle nous explique qu’elle n’est pas exposée car elle dispose d’un très bon informaticien, témoigne-t-elle. Or les experts à missionner et l’informaticien interne ne font tout simplement pas le même métier, et les entreprises n’en ont pas forcément conscience. » Les experts permettent, également, de vérifier qu’aucun logiciel malveillant n’a été installé pendant l’attaque, car un piratage une PME peut être un premier jalon posé par un hacker pour atteindre ensuite une grande entreprise via sa chaîne de sous-traitance. « Elles sont aussi victimes d’attaques ciblées pour exfiltrer des brevets confiés par des donneurs d’ordre », prévient Yves Jussot, coordinateur sectoriel à l’Anssi. Ces exemples d’attaques sur les PME, de plus en plus nombreux, sont indispensables pour sensibiliser l’ensemble des sociétés au risque cyber. Un atout de plus pour les agents et courtiers de proximité qui se positionnent en première ligne sur ce marché. « Nous voyons des saisines provenant de courtiers de toutes tailles, car le cyber est un point d’entrée pertinent pour satu­rer un portefeuille d’entreprises », éclaire Astrid-Marie Pirson. La sensibilisation à ces nouvelles menaces croissantes permet aux intermédiaires de proposer une approche globale et sur-mesure en matière de gestion des risques.

Emploi

AFI ESCA

Délégué Régional grands comptes H/F

Postuler

SERPINET CONSEIL

Inspecteur Commercial SUD 12 15 30 34 48 81

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Marché de services d'assurances pour la CTBR.

Compagnie des Transports du Bas Rhin

19 janvier

67 - STRASBOURG

Services d'assurances.

Ville de Riom

19 janvier

63 - RIOM

Proposé par   Marchés Online

Commentaires

Non, le cyber n'est pas un risque exotique

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié