Huit indices inquiétants sur votre fragilité cyber
Publié le 25/09
- Les signes extérieurs d’inconscience
« Lorsque j’entre dans une entreprise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il y a une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impression en dit beaucoup sur le souci qu’a l’entreprise de la cybersécurité, de même que l’attitude de ses interlocuteurs : on sent vite s’il y a une appétence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercuter à tous les niveaux », indique Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique à l’Anssi, Agence nationale de la sécurité des systèmes d’information.
- L’absence de politique de cybersécurité
« Il faut qu’il existe dans l’entreprise des règles officielles, même très larges : un document qui explique celles liées à la cybersécurité dans l’entreprise : politique de sauvegarde, politique de mise à jour, règles sur les mots de passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr
- Le nombre de personnes mobilisées sur le sujet
C’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investissements. « Les entreprises françaises emploient en moyenne un spécialiste cybersécurité pour 900 employés, avec des écarts importants selon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas, par exemple dans l’industrie. C’est faible, quand on considère qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’information », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr, du secteur et des spécificités de l’entreprise mais en moyenne un rapport de 1/500 est une bonne cible pour vraiment changer de posture. »
- La proximité entre le CISO et le RM
« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre, c’est grâce à la collaboration et la relation de confiance de ces deux responsables que l’entreprise pourra casser les silos pour mettre en oeuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.
- L’absence de dispositifs de surveillance
« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil », indique Jérôme Notin.
- Le niveau de rattachement hiérarchique du responsable de la sécurité informatique
« C’est le tout premier élément révélateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… », explique Gérôme Billois, associé cybersécurité et digital trust chez Wavestone. Le bon positionnement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsable soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »
- L’absence ou la fragilité du plan de continuité d’activité
« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire face à un incident. Or, il faut se préparer et savoir comment réagir si jamais cela arrive dans l’entreprise : déconnecter les systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, président de la DFCG. « Si la plupart des grandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structures… Je demande souvent aux dirigeants des entreprises que je rencontre « si demain, on trouve votre fichier clients sur Internet, savez-vous comment réagir ? » », complète Gérôme Billois.
- La fusion des sphères privées et professionnelles
« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et professionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou un seul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La séparation des sphères privée et professionnelle est une première étape dans la maturité cyber », explique Fabien Caparros.
Cécile Desjardins
Blog de Caroline Aubry 
La problématique Assurance et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003). D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques. Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui nous disait : » Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. » N’en est-il pas de même avec le cyberrisque ? La gestion des risques transversale et la Fonction Risk Manager sont au premier plan.
Ci-dessous un premier article sur ce sujet : le point de vue d’une juriste
Assurance et cybersécurité : pourquoi c’est encore flou pour les entreprises
LE CERCLE – La fréquence des attaques informatiques a nettement augmenté au cours des dernières années. Toujours plus agressives, elles soulèvent de nombreuses questions quant aux couvertures d’assurance permettant aux entreprises de s’en prémunir et d’y faire face.
Notre société, dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques, s’expose chaque jour davantage au risque cyber, que l’incident soit le fait d’un salarié ou d’une attaque par un tiers.
Les célèbres attaques Wannacry et Not Petya ont entraîné par ricochet une augmentation corrélative du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019, bien que certains spécialistes pensent que cette augmentation est en partie le fruit de l’entrée en vigueur récente du Règlement général sur la protection des données personnelles (RGPD).
Toutefois, on continue de penser que le risque cyber est à la limite de l’assurabilité. Il est vrai que l’assureur se heurte à une absence d’antériorité sur ce risque récent, ce qui aggrave la difficulté de pouvoir adapter la capacité d’indemnisation avec une prime adaptée. Sans méthode d’analyse du risque fiable et sans enregistrement systématique des incidents cyber, les contours de ce risque restent flous et dont les conséquences à l’échelle mondiale paraissent incontrôlables.
Des polices dédiées aux cyber risques
Au-delà de la difficulté de définir une méthode actuarielle fiable, il faut nécessairement appréhender le risque de façon globale car il implique de facto l’ensemble des acteurs d’un même écosystème. Certains y voient là une nouvelle application de la «sécurité interdépendante» développée en matière de terrorisme.
Face à cette situation, certains assureurs ont préféré maintenir leurs polices traditionnelles, de sorte que bien que non identifié dans la police, ce risque «silent cyber» serait pris en charge, comme le piratage de données bancaires des utilisateurs d’un site internet ou de pertes d’exploitation consécutives à un incident cyber intentionnel ou non. Cela s’est parfois accompagné d’une simple augmentation des lignes existantes ou de la souscription d’avenants.
Les polices «tous risques sauf» présentent également un intérêt pour les PME qui sont souvent démunies face à un risque qu’elles ne peuvent correctement appréhender, dès lors qu’à défaut d’exclusion expresse des dommages causés par un virus, ces polices devraient pouvoir être actionnées en cas d’incident cyber.
De façon générale, on reproche tout de même à ces polices d’aboutir à des situations de cumuls de garanties ou d’assureurs, génératrices de complexité souvent au détriment de la bonne résolution de l’incident cyber.
D’autres assureurs ont fait le choix de développer un produit cyber, impliquant un accompagnement en amont de l’assuré pour définir le niveau de protection attendu et devant être maintenu par ce dernier, puis en aval lorsque l’incident survient pour l’aider à affronter la crise et restaurer son système d’information à l’aide de spécialistes missionnés en urgence, y compris le week-end.
Plusieurs limites
Pour séduisantes qu’elles soient, ces polices dédiées sont encore jugées peu claires avec des exclusions bloquantes comme les conséquences de l’atteinte à l’image et à la réputation de l’entreprise pourtant souvent mises à mal en cas de cyber incident.
On regrette aussi que ces polices ciblées demeurent trop génériques, sans réelle adaptation au profil de leur assuré, selon qu’il est une société du CAC 40 ou une PME. A cet égard, les réassureurs joueront certainement un rôle important, puisqu’ils réclameront de leurs clients assureurs d’être en mesure de détailler l’exposition spécifique au risque cyber pour accepter de réassurer.
En outre, même en cas d’amélioration notable des polices, les entreprises n’auront-elles pas toujours cette réticence à partager avec les assureurs des informations jugées confidentielles ou relatives au niveau de protection réelle de leur système informatique ?
L’Etat n’aurait-il pas ici un rôle à jouer dans l’évaluation de ce risque et la collecte des données liées aux incidents cyber ? Certains voient d’ailleurs dans le RGPD un moyen réel de constituer une base de données des incidents cyber qui touchent les entreprises en Europe.
En conclusion, les assureurs sont aujourd’hui contraints de développer des produits d’assurances efficaces et simplifiés sauf à laisser croître un marché parallèle de prévention et de gestion du risque cyber emmené par des prestataires de sécurité cyber ou même le laisser s’échapper au profit d’entreprises pionnières du CAC 40 qui mettent à disposition des obligations dédiées émises sur le marché des capitaux.
Emmanuèle Lutfalla, avocate, co-fondatrice et associée du bureau parisien de Signature Litigation.