Directeur Synergie et Développement, Bessé Conseil en assurances
« Les entreprises face au risque de Cybersécurité »
1 / Y a-t-il un lien entre la crise de la Covid-19 et les risques en matière de cybersécurité ?
Il existe une corrélation évidente entre cette crise de la Covid-19 et le développement des menaces Cyber. Cet épisode brutal et généralisé a accéléré la nécessaire transformation digitale des entreprises et désormais 2 ETI sur 3 ont engagé leur transformation de façon active.
Nous allons donc pouvoir tous gagner en productivité, innovation et recherche ce qui est une bonne chose pour le positionnement des entreprises sur l’échiquier mondial. En revanche le faire « au pas de charge » n’a pas permis d’intégrer les indispensables mesure de sécurité permettant de contrer des attaques plus nombreuses, de 60% supérieure par rapport à l’année précédente.
Cela a conduit à avoir près de 90% des entreprises françaises victimes de cyberattaques en 2020 !
Cet accroissement de la « surface d’attaque » n’est pas terminé car vous avez bien noté que les plans de relance tant européens que français veulent encore accélérer la transformation digitale des entreprises. C’est la raison pour laquelle un plan gouvernemental de cybersécurité a été lancé en début d’année[1].
2 / Quelles sont les principales caractéristiques de cette cybercriminalité ?
En premier lieu, pour tout chef d’entreprise ou responsable d’organisation, il faut s’enlever de la tête que « nous ne sommes pas intéressants et donc pas une cible ». En effet, cette cybercriminalité touche l’ensemble des secteurs et des tailles d’entreprises et nous le voyons bien avec des attaques, y compris, sur des hôpitaux, EHPAD, cabinet d’expertise comptable, chambre d’agriculture, coopérative agricole, etc..
En second lieu, ces attaques sont devenues un véritable « business » pour les organisations criminelles, ou même certains états et voire de petits délinquants qui s’équipent pour quelques centaines d’euros sur le dark web avec des outils prêts à l’emploi.
L’appât du gain est la première des motivations et le coût moyen pour une PME d’une cyber attaque est passé de 9 000 € à 35 000 € entre 2019 et 2020, et plus de 450 000 € pour les ETI.
Les 3 principaux vecteurs d’attaques sont le phishing (80%) c’est-à-dire le fait d’infecter votre Système d’information en cliquant sur un lien dans un mail d’accroche bien souvent usurpant l’identité de sites marchands, banques, organismes publics ou même votre employeur. Puis arrive l’exploitation d’une faille d’un de vos logiciels (52%) et ensuite vient la fraude au président « augmentée » grâce à l’intelligence artificielle (usurpation de la voix et des visages) pour 42%.
Il faut impérativement que la gouvernance des entreprises s’empare de ce sujet qui touche toute l’architecture informatique, ses process, son organisation notamment le personnel comme clef d’entrée.
3 / Comment mieux se protéger ?
C’est la bonne question à se poser. Bien souvent nous sommes d’abord interrogés sur les solutions assurantielles qui peuvent être mises en place, avant même d’évoquer les mesures de prévention. Nous devons rappeler que la seule approche réside dans l’adoption d’une démarche de gestion des risques qui s’attelle en premier lieu à éviter que l’attaque puisse aboutir. Ensuite il s’agira de mettre en place les solutions de protection comme le compartimentage qui limite les dégâts en cas d’intrusion. Pour le présenter par l’absurde, demanderiez-vous à un assureur une garantie « vol » pour un bâtiment sans porte ni fenêtre ?
Concrètement, forts des retours d’expériences des différents centres de réponse à incidents (CERT), du recensement des différents vecteurs d’attaques et également de l’enseignement tiré des sinistres indemnisés par les assureurs, il faut travailler de façon prioritaire sur les points suivants :
– la protection de l’« active directory » qui gère l’authentification et les autorisations,
– l’acculturation de tout le personnel à ce sujet avec notamment du e-learning afin de contrer les tentatives de « phishing », fraudes aux président …,
– la mise en place d’un Plan de Continuité d’Activité (PCA) et d’un Plan de Reprise d’Activité (PRA), gages de la véritable prise en compte de ce risque par la gouvernance de l’entreprise.
Seules des mesures de ce type permettent de se projeter réellement dans la gestion de crise. Il faut savoir que la résilience d’une société qui a été préparée à une crise est deux fois supérieure à celle qui ne l’est pas.
La perception du risque Cyber des dirigeants d’entreprise progresse mais en sous-estime encore la réalité. Notre approche est donc de les accompagner pendant ces étapes primordiales de réflexion, gestion des risques pour ensuite travailler avec eux sur le transfert à l’assurance du risque mesuré. La solution construite tiendra compte de leurs besoins spécifiques en matière de gestion de crise, leurs frais et pertes ainsi que des éventuels dommages occasionnés à des tiers et ce, sur la base d’un dossier bien préparé.
Il faut savoir que dorénavant le marché de l’assurance est devenu très sélectif et très professionnel dans l’évaluation de la maturité Cyber d’une entreprise.