Huit indices inquiétants sur votre fragilité cyber

Publié le 25/09

1. Les signes extérieurs d’inconscience

« Lorsque j’entre dans une entreprise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il y a une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impression en dit beaucoup sur le souci qu’a l’entreprise de la cybersécurité, de même que l’attitude de ses interlocuteurs : on sent vite s’il y a une appétence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercuter à tous les niveaux », indique Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique à l’Anssi, Agence nationale de la sécurité des systèmes d’information.

2. L’absence de politique de cybersécurité

« Il faut qu’il existe dans l’entreprise des règles officielles, même très larges : un document qui explique celles liées à la cybersécurité dans l’entreprise : politique de sauvegarde, politique de mise à jour, règles sur les mots de passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr

3. Le nombre de personnes mobilisées sur le sujet

C’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investissements. « Les entreprises françaises emploient en moyenne un spécialiste cybersécurité pour 900 employés, avec des écarts importants selon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas, par exemple dans l’industrie. C’est faible, quand on considère qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’information », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr, du secteur et des spécificités de l’entreprise mais en moyenne un rapport de 1/500 est une bonne cible pour vraiment changer de posture. »

4. La proximité entre le CISO et le RM

« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre, c’est grâce à la collaboration et la relation de confiance de ces deux responsables que l’entreprise pourra casser les silos pour mettre en oeuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.

5. L’absence de dispositifs de surveillance

« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil », indique Jérôme Notin.

6. Le niveau de rattachement hiérarchique du responsable de la sécurité informatique

« C’est le tout premier élément révélateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… », explique Gérôme Billois, associé cybersécurité et digital trust chez Wavestone. Le bon positionnement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsable soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »

7. L’absence ou la fragilité du plan de continuité d’activité

« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire face à un incident. Or, il faut se préparer et savoir comment réagir si jamais cela arrive dans l’entreprise : déconnecter les systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, président de la DFCG. « Si la plupart des grandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structures… Je demande souvent aux dirigeants des entreprises que je rencontre « si demain, on trouve votre fichier clients sur Internet, savez-vous comment réagir ? » », complète Gérôme Billois.

8. La fusion des sphères privées et professionnelles

« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et professionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou un seul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La séparation des sphères privée et professionnelle est une première étape dans la maturité cyber », explique Fabien Caparros.

Cécile Desjardins

« Le cybersilencieux » : le risque qui inquiète les assureurs

Les cyberattaques peuvent faire jouer des contrats classiques d’assurance dommages ou de responsabilité civile, démultipliant l’exposition des assureurs à ce risque. L’heure est à la prise de conscience du « silent cyber » et à la nécessité de clarifier les contrats.

Les  cyberattaques font planer une menace « silencieuse » sur les assureurs. Des contrats classiques d’assurance dommages (IARD) ou de responsabilité civile peuvent en effet être mis en jeu, alors qu’ils avaient souvent été conçus quand la menace n’était pas si forte qu’aujourd’hui. « Toute police qui ne comporte pas une exclusion explicite pour les cyberincidents peut être exposée », soulignaient les analystes de S&P Global Ratings dans un rapport publié en août.

« Les assureurs en sont à des stades différents dans l’évaluation de leur véritable exposition cyber, comprenant le ‘silent cyber’. C’est une priorité pour l’industrie parce que les limites d’exposition dans les polices d’assurance dommages des entreprises sont souvent plusieurs fois supérieures à celles accordées par les polices cyberdédiées », alertait l’agence Moody’s dans un rapport paru cet été. Autrement dit, les enjeux financiers peuvent être colossaux.

Couvertures « affirmatives »

Rien d’étonnant donc, si « la volonté des assureurs aujourd’hui est de couvrir les incidents cyber dans des polices spécifiques, car les polices traditionnelles ne sont pas tarifées pour couvrir ces risques », comme l’explique Ezéchiel Symemouh, chez le courtier Gras Savoye Willis Towers Watson.

Les compagnies semblent en tout cas bien décidées à s’attaquer au « cybersilencieux » et aux zones grises qui peuvent exister dans leurs contrats. « Nous travaillons actuellement sur ce sujet. Nous devrions nous orienter vers des couvertures affirmatives qui détaillent ce qui est couvert et ce qui ne l’est pas, afin que tout soit transparent pour le client », explique ainsi Paul Sterckx, directeur du département risques financiers d’AIG en France.

Mouvement très remarqué dans le secteur, le géant mondial de l’assurance Allianz est en train de déployer une nouvelle stratégie de  souscription des cyberrisques , en commençant par AGCS, sa filiale dédiée aux grands risques.

Des régulateurs se sont eux aussi emparés du sujet, à l’image de la Prudential Regulation Authority en Angleterre, qui a appelé en début d’année les assureurs britanniques à mettre en place des plans d’action.

Laurent Thévenin