October 04, 2016
Ecrit par Anne-Sophie Brichard
Responsable de la souscription Responsabilité civile pour le segment PME/ETI,XL Catlin
Avez-vous entendu parler du film Hackers, Les Pirates du Cyberespace ? Sorti en 1995 et mettant en scène Angelina Jolie –alors très jeune–, c’est une véritable pépite des années 90. Le synopsis est très simple : Dade (alias Crash Override) est un petit génie de l’informatique ; une multinationale l’accuse d’avoir dérobé plusieurs millions de dollars. Avec un groupe de hackers idéalistes (dont Kate alias Acid Burn, jouée par Jolie), il va combattre l’entreprise –forcément diabolique– à coup d’attaques informatiques. Spoiler : à la fin, les hackers gagnent.
Le film offrait une vision très orwellienne du monde des hackers, en montrant une bande d’adolescents aux cheveux décolorés, à rollers, poursuivis par des agents corrompus et de grands patrons malintentionnés, à une époque où peu de souscripteurs osaient utiliser les mots « risques » et « cyber » dans la même phrase.
Vingt ans et quelques plus tard, je ne suis pas sûre que les rollers soient toujours à la mode chez les hackers... Ce dont je suis certaine, par contre, c’est que les disquettes ont disparu et que les grandes entreprises ne sont plus les seules organisations à être la cible d’attaques cyber.
David contre Goliath, c’est fini
Les entreprises de taille plus modeste sont devenues des proies privilégiées des « voyous en ligne ». Plusieurs études dans le domaine soulignent que 60% à 80% des incidents liés au cyber touchent des PME et des ETI. Ces trois catégories arrivent loin devant les multinationales et les agences gouvernementales. Les dommages causés par ces attaques sont donc souvent moins importants qu’on ne pourrait penser, mais ils n’en sont pas moins dramatiques étant donné que les entreprises ciblées sont plus vulnérables sur le plan financier.
En effet, lorsqu’une grande entreprise est victime d’une attaque cyber et que son site de e-commerce est inactif, c’est grave. Mais ces entreprises ont souvent de grandes équipes informatiques capables d’intervenir rapidement et de réparer le site. En toute vraisemblance, ces entreprises ont également facilement accès à des experts en relations publiques qui pourront les aider à restaurer la confiance de leurs utilisateurs.
A l’inverse, si une PME est victime d’une attaque qui rend son outil CRM inutilisable et cause la perte des données confidentielles de ses clients, c’est encore plus grave. Il lui faudra certainement plus de temps pour que sa plateforme de relation-client soit à nouveau opérationnelle. Elle risquera donc de perdre l’équivalent de plusieurs jours –potentiellement– de revenus, en plus du coût des experts en sécurité informatique. Par ailleurs, la loi obligera bientôt les entreprises à informer leurs clients en cas de violation de leurs données personnelles (selon le Règlement général sur la protection des données du Conseil Européen qui entrera en vigueur en mai 2018). Cela a un coût, tout comme la mise en place d’une « hotline » pour répondre aux questions qu’ils pourraient avoir sur l’incident. La PME pourrait se retrouver dans une situation difficile, tant sur le plan financier que de son image.
Les attaques au « rançongiciel », une menace pour toutes les entreprises
Les professionnels de la cyber-sécurité découvrent chaque jour de nouveaux types d’attaques spécialement imaginés pour cibler de plus petites entreprises. L’année 2016, par exemple, est celle duransomware, également connu sous le nom d’arnaque au « rançongiciel » –un terme qui fait froid dans le dos… Leur fonctionnement est simple : un hacker installe, à distance, un programme sur l’ordinateur de sa victime qui crypte ses fichiers, les rendant inaccessibles. Il demande ensuite une rançon en échange d’une clé de chiffrement qui permettra de « libérer » les fichiers.
L’arnaque au rançongiciel est une menace pour les plus petites entreprises dont les ressources informatiques sont souvent plus limitées et dont les serveurs sont parfois moins sécurisés que ceux d’une grande entreprise.
En avril dernier, une entreprise française a dû mettre ses 23 employés au chômage technique pendant une semaine après avoir été victime d’une attaque de ce type. La dirigeante a dû passer quatre jour à échanger avec le hacker, afin d’essayer de négocier, avant de se résoudre à payer la rançon et après avoir perdu l’équivalent d’une semaine de travail. Au final, elle n’a aucun moyen de savoir si le hacker a fait une copie de ses données, dans le but de les utiliser dans le futur.
Que peuvent faire les entreprises pour se prémunir contre ce type d’attaques ?
D’abord, il est important pour toute entreprise –PME comme grande entreprise– de comprendre son exposition aux risques cyber. En tant qu’assureur, nous prenons en compte les spécificités de chaque secteur d’activité et de chaque client. Ainsi, les entreprises industrielles seront par exemple plus préoccupées par une éventuelle interruption d’activité et par leur réputation. Dans le secteur des services, par contre, les entreprises mettront l’accent sur la perte de données, qui pourraient entraîner la violation d’informations personnelles à propos de leurs clients.
Les entreprises doivent par ailleurs adopter une approche holistique de la gestion des risques cyber. Contrairement à ce que beaucoup pensent, la technologie n’est pas le seul facteur à influencer ces risques émergents. 60% des incidents liées aux données sont le résultat d’une erreur humaine. Après tout, ce sont des hommes, et non pas des machines, qui choisissent des mots de passe trop simples, qui oublient de sauvegarder des fichiers importants, qui perdent des clés USB contenant des informations confidentielles ou qui se connectent au serveur de leur entreprise en utilisant un réseauwi-fi public.
En d’autres termes, les entreprises doivent éduquer leurs collaborateurs quant à l’importance des mesures de sécurité informatique et mettre un point d’honneur à les appliquer à la lettre.
SOS Cyber : Who you gonna call?
Selon Sergio Pierro, Souscripteur Lignes financières chez XL Catlin –et notre expert cyber en France : les entreprises doivent arrêter de se demander ce qu’elles feront « si elles sont hackées » et commencer à se demander ce qu’il se passera « quand elles seront hackées ». D’où l’importance d’avoir un plan d’urgence en place. Autrement dit, il est important de savoir qui doit être sollicité lorsqu’un incident cyber survient : experts en sécurité informatique, communicants, juristes…
Enfin, il est essentiel, pour les dirigeants d’une entreprise, de savoir comment ils feront face aux conséquences financières d’un tel incident. L’assurance est évidemment un élément de réponse, à condition de trouver une police qui correspond parfaitement à ses besoins –et à son budget. Comme la plupart des assurances cyber s’adressent aux institutions financières, aux entreprises de technologie et aux groupes internationaux, les primes sont souvent trop élevées et les capacités inadaptées pour la plupart des entreprises.
Chez XL Catlin, nous nous efforçons de trouver des solutions aux risques auxquels nos clients, quelle que soit leur taille, sont confrontés. En tant que Responsable du département Responsabilité civile PME/ETI chez XL Catlin, je sais que la plupart des sociétés avec lesquelles nous travaillons sont sensibilisées au risque cyber mais peinent à trouver un produit adapté à leur taille et besoins. C’est pourquoi nous offrons désormais à nos clients PME/ETI une garantie complémentaire cyber à nos polices de Responsabilité civile générale, par le biais d’un avenant d’extension.
Le “cyber” est un environnement qui change rapidement et les hackers sont en permanence à la recherche de nouveaux moyens d’attaquer les entreprises. Afin que le marché de l’assurance puisse suivre ces évolutions, les assureurs doivent être flexibles dans leur approche afin de trouver des solutions innovantes aux risques cyber. Les hackers peuvent faire preuve de créativité, mais nous aussi!
Pour plus d’informations, n’hésitez pas à contacter Anne-Sophie Brichard.
