Cybersécurité : pourquoi est-il urgent de se protéger ? Réponse avec Frédéric Chaplain
Assurance cyber risques Votre devis gratuit
Le risque cyber fait l'actualité en ce début d'année, notamment avec les attaques récentes de deux hôpitaux et d'une mutuelle. Comment le secteur de l'assurance se prépare-t-il à ce nouveau risque majeur ? Nous avons rencontré Frédéric Chaplain, Directeur IARD de Verlingue, un courtier en assurances spécialisé dans la protection des entreprises, en France, en Grande-Bretagne, en Suisse et au Portugal.
Pourquoi constate-t-on une montée en puissance du risque cyber ?
D'abord, nous faisons face à une meilleure organisation de ceux qu'il faut bien appeler des cybercriminels (et non du terme romantique de « hackers »). Ils agissent désormais de façon plus efficace et plus opérationnelle : ce sont à présent de véritables PME du crime organisé, qui travaillent en association les unes avec les autres sur des projets de piratage. À l’heure actuelle, les cyberattaques sont plus faciles à mettre en œuvre que d'autres activités illicites traditionnelles. Ce sont des opérations qui peuvent être très rentables car elles demandent peu de moyens. Pour résumer, la cybercriminalité est mieux organisée, et a compris le bénéfice qu’elle pouvait tirer de ce nouveau « business ».
Cette recrudescence a-t-elle également à voir avec notre impréparation ?
Le développement du risque cyber est bien sûr associé à un environnement où la prise de conscience n'est pas encore tout à fait effective. Certaines entreprises se demandent encore : « Est-ce vraiment un risque pour moi ? » Alors que la question n'est plus : « est-ce que je serai attaqué ? », mais simplement : « quand ? ». De plus, nous ne profitons pas d’une grande culture de la prévention dans notre pays. C’est donc une niche dans laquelle s'engouffre les criminels, car elle est rentable, et, car nous n’y sommes pas bien préparés.
La crise liée au Covid-19 a-t-elle augmenté le cyber risque ?
Le Covid-19 a eu une influence sur ce que nous vivons actuellement. La pandémie a mis (ou remis) les gens chez eux, et ils sont très nombreux à avoir dû télétravailler. Or, quand nous sommes chez nous, nous n'avons pas forcément la même orthodoxie de fonctionnement ni la même rigueur vis-à-vis de l'informatique. On se rend sans le savoir sur des sites non-autorisés par la sécurité informatique de notre entreprise, on utilise deux fois le même mot de passe, on signe l’interminable charte informatique sans l’avoir lue en détail..., etc. Avec un peu de malchance, les enfants ont accès à notre matériel informatique, et peuvent cliquer par inadvertance sur un lien ou un site malveillant. Un accident est vite arrivé, et peut être très dommageable. Car l’essentiel des cyberattaques, qui sont à l’heure actuelle des demandes de rançon (ou rançonware) fonctionne ainsi : le virus s’introduit dans votre système informatique lorsque vous cliquez sur un lien piégé. Tout cela a aggravé le risque cyber, qui s'est emballé, car c'est un business et que les cibles sont plus vulnérables depuis l’année dernière.
Toutes les entreprises sont-elles aujourd’hui menacée ? Pour l’instant les cybercriminels semblent se concentrer sur des activités particulières ?
Nous pouvons prendre l'image d'une rue, qui est assez parlante. Un cambrioleur a accès à la rue et il va faire toutes les maisons. Certaines résistent mieux, ont un chien, une alarme, et d'autres moins bien : elles vont être les premières cibles, mais toutes vont être visitées. Ces nouvelles PME du crime ont un business plan à respecter, elles ne vont donc pas se priver de faire croitre leurs gains avec toutes les cibles possibles. Nous avons longtemps cru que le cyber risque ne concernait que les grosses entreprises, ou de grandes élections nationales, comme aux États-Unis. Désormais, nous pouvons tous être potentiellement touchés, et ce risque nouveau affecte notre santé, dans le cas des hôpitaux qui ont été récemment attaqués, mais aussi notre tissu économique, avec de nombreuses PME et ETI qui se retrouvent visées.
« Certaines entreprises se demandent encore : « Est-ce vraiment un risque pour moi ? ». Alors que la question n'est plus : « est-ce que je serai attaqué ? », mais simplement : quand ? ».
C’est aujourd’hui la méthode du « ransonware » qui semble privilégiée par les criminels. Quel est le montant moyen des rançons demandées ?
Ce montant est très variable. Il peut être de quelques centaines de milliers d'euros, jusqu'à des dizaines de millions de dollars. C’est extrêmement variable, nous constations une amplitude très élevée, et ces sommes doivent souvent être payées en bitcoin, ce qui rajoute une complexité supplémentaire. Mais la taille de l'entreprise n’est pas toujours corrélée au montant de la rançon.
Pourquoi les établissements de santé, comme les hôpitaux et les mutuelles sont particulièrement visés depuis le début d’année ? Pourquoi leurs données sont-elles plus précieuses ?
Il n’y pas de typologie de l’entreprise cible, mais nous pouvons en effet parler de secteurs plus sensibles que d’autres, comme les hôpitaux. Tout d’abord, car les cybercriminels présument un sous-investissement en matière d’informatique, et pensent qu’il s’agira de cibles faciles. Mais c’est aussi en raisons des données détenues par les hôpitaux, qui sont très précieuses. Pourquoi ? Car les données de santé ne bougent pas ou très peu dans le temps : un numéro de sécu, une adresse, un numéro éventuel de compte bancaire sont extrêmement valorisées par les cybercriminels, car il est facile de revendre ces informations pour faire de l’usurpation d'identité, par exemple, qui est un business très lucratif. Mais on peut penser que demain d’autres données très sensibles seront ciblées, comme les données de la défense, ce qui fait du cyber risque un sujet au combien stratégique.
Quelle est la solution que vous avez mis en place avec Verlingue ?
Notre solution se décompose en trois temps. D’abord, nous faisons avec l’entreprise une cartographie de risque, nous analysons la vulnérabilité à l’aide de plusieurs formulaires. L’idée est de savoir comment le risque est pris en compte par l'entreprise, plutôt que d’évaluer son niveau technologique.
Ensuite nous proposons un service d’assistance. Nous pouvons faire le parallèle avec une assurance auto : quand on est bloqué un samedi soir au milieu de nulle part, on pense d'abord à l'assistance avant de penser à l’assurance, on veut d'abord corriger le problème. Pour cela nous mettons à disposition de l’entreprise un bouquet de services et de prestataires pour résoudre le problème s’il intervient : mise en place d’une cellule de crise, avertissement des clients, remédiation technologique… Nous avons bâti cette solution pour pouvoir proposer une réaction rapide qui permet remettre client dans la meilleure position possible. L'objectif n'est jamais de payer la rançon, mais de débloquer l’entreprise dans les meilleurs délais.
Dans un troisième temps, l'assurance intervient. Les garanties doivent permettre à l’entreprise cliente d’être indemnisé à la suite du sinistre. Pendant et à la suite d’une cyberattaque, l’activité peut être fortement dégradée. Des entreprises qui ne fonctionnent presque que grâce à l’informatique peuvent se retrouver coincées, et cela peut leur faire perdre beaucoup d’argent. Les indemnisations peuvent donc correspondre à des remboursements de frais supplémentaires d'exploitation et/ou à des indemnités pour pertes d'exploitation.
Pour résumer, nous évaluons d’abord la prise en compte du risque cyber de l’entreprise. Si une attaque se produit, nous nous assurons de récupérer les données, avec l’assistance de prestataires, et, ensuite, nous garantissons à notre client une indemnité pour remettre situation telle qu’elle était avant l'incident.
Où en est la modélisation du cyber risque par le secteur de l’assurance ? Ce risque peut-il être aujourd’hui convenablement couvert ?
Le problème est que l’assurance se bâtit habituellement sur le passé. Les risques « traditionnels » sont évalués et modélisés en fonction de ceux qui sont intervenus par le passé. Il s’agit presque toujours de modèles rétrospectifs. Or, pour le cyber, qui est un risque relativement nouveau, ce recours au passé n’est pas possible. Il faut donc que nous retournions le rétroviseur et que nous regardions devant, ce qui est très compliqué.
Le deuxième grand enjeu est de faire correspondre le niveau des primes et celui des indemnisations. Nous sommes face à un risque qui peut potentiellement toucher tout le monde, et qui est donc très difficile à mutualiser. L’assureur Swiss Re compare en ce sens le cyber risque au risque pandémique. Le marché assurantiel sur ce risque est donc très compliqué et très tendu. Les assureurs sont aujourd’hui obligés de sélectionner leurs assurés, et ne seront assurés que ceux qui auront un profil de gestionnaire de risques, qui peuvent apporter la preuve qu’ils se sont armées suffisamment pour prévenir une cyberattaque.
Comparez gratuitement vos assurances professionnelles en moins de 2 minutes pour protéger votre activité au meilleur prix !