Selon le CESIN (Club des experts de la sécurité de l’information et du numérique) plus de 9 entreprises sur 10 disent avoir été attaquées une ou plusieurs fois en 2018 et une enquête de Cisco en 2018 annonce que sur l’année passée : « 54 % des attaques ont entraîné des dommages financiers évalués à plus de 500 000 €. », pour le reste les montants sont inconnus. Il peut s’agir de demandes de rançon ou de récupération de données sensibles (fichiers clients, brevets, conceptions en cours...) dont on n’ose imaginer le coût pour l’entreprise. Le risque associé, une atteinte à l’image, n’est pas moindre. Les pertes d’exploitation qui résultent de sauvegardes endommagées sont également une catastrophe. Celles liées à des attaques en indisponibilité de services ne sont pas en reste pour les sites marchands ; des milliers d’euros de chiffre d’affaires ne sont pas réalisés en raison d’une impossibilité de passer des commandes parce qu’un serveur est rendu défaillant. On notera également que les données concernant les salariés sont qualifiées de sensibles et que les dirigeants ont une obligation de sécurité à leur égard. En cas de vol de leurs données personnelles, les employés peuvent poursuivre leur entreprise en justice.

Aussi, parce qu’il est impossible pour une entreprise de faire fi du numérique, il est essentiel que les PME et ETI, jugées par les hackers comme des proies faciles, mettent en place des mesures pour se protéger et protéger leurs salariés, leurs clients et leurs partenaires. Sans compter qu’une politique de sécurité informatique performante deviendra certainement pour les entreprises à caractère stratégique un véritable critère de sélection de ses sous-traitants.

Être moins vulnérable

Parce que les difficultés d’intrusion dissuadent les hackers, la technologie est considérée comme le premier rempart.
Certaines mesures sont incontournables :

> Mettre à jour systématiquement les applications afin de protéger tous les appareils, en particulier mobiles (smartphones, tablettes, ordinateurs portables)
> Avoir une véritable politique de mot de passe ; il y a des logiciels peu coûteux qui les renouvellent en permanence.
> Surveiller les points de fragilité qui se multiplient. Il est primordial d’encadrer l’utilisation de plus en plus répandue par les employés de leur propre équipement informatique dans le cadre du travail BYOD –bring your own device -. Peu voire pas protégés, ces équipements sont très vulnérables aux attaques. Les nouveaux modes de travail à l’image du nomadisme et du télétravail entraînent également une multiplication des accès externes aux systèmes d’informations sécurisés des entreprises, notamment via les box personnelles ou les wifi publiques.
> Sauvegarder régulièrement les données sur le Cloud où elles sont protégées et cryptées. La sécurité est garantie par la duplication des serveurs et des datacenters. C’est également un atout en cas de sinistre incendie dans vos locaux.
> Les entreprises doivent aussi se munir de dispositifs de récupération des données pour être en mesure de reprendre une activité normale le plus rapidement possible après une cyberattaque.
> Communiquer en interne sur les bonnes pratiques est aussi un levier majeur car le comportement de l’utilisateur final est essentiel comme l’ont démontré les nombreux cas de fishing (vol de données par tromperie) ou de fraudes au président. Le but est que les salariés sachent identifier des menaces comme les mails prenant le nom de banques et autres organismes publics.

Souscrire à une assurance adaptée

L'assurance est un maillon majeur de la chaîne de gestion des cyber-risques. Les grandes entreprises en ont conscience. D’ailleurs, lors du congrès 2019 de l’AMRAE, association des Risks Managers, les principaux assureurs (Axa, Allianz, AIG, Chubb) ont fait état d’une très forte demande de souscription

Mais si nous constatons une augmentation des souscriptions de près de 40 % en un an de la part des PME, ces dernières restent encore à la traine. Pour la grande majorité, elles pensent être couvertes via leur police Dommages aux biens qui comporte parfois un volet « pertes de données » en plus des dommages matériels. Or, ces garanties sont partielles et contiennent de nombreuses exclusions. En outre, les contrats qui couvrent la responsabilité civile des entreprises excluent bien souvent les conséquences des dommages liés à des attaques virales.

Aussi, il est préconisé de :

> Contacter des assureurs dont les contrats couvrent spécifiquement les cyber-risques comme les dommages informatiques, les dénis de service, les frais de restauration des données. Des assurances de protection financière informatique permettent de couvrir la responsabilité civile de l’entreprise pour les dommages causés aux tiers ou les actes de diffamation, d’autres couvrent également les frais de défense d’un avocat. En cas de sinistre, certains assureurs mettent à disposition des experts informatiques pour décontaminer les systèmes infectés. Malheureusement, la dégradation de la réputation ou la perte d’un avantage concurrentiel sont des pertes indirectes qui ne sont pas assurables.
> Se positionner aujourd’hui, car les tarifs en France sont encore compétitifs et devraient le rester à moins d’une croissance importante du nombre de sinistres à indemniser. Par ailleurs, il est à craindre que dans un avenir proche les conditions de souscription ne se durcissent (garanties, exclusions, conditions de prévention).
> Mieux communiquer avec les assureurs sur les attaques subies car ils peinent encore à modéliser et qualifier les cyber-risques par secteur d’activité.

Un dernier conseil pour conclure

Parce que ces sujets sont éminemment complexes à appréhender, les entreprises sont invitées à se faire accompagner de conseils. Les experts télécoms et informatiques savent effectuer l’indispensable audit de l’installation, identifier ses failles, hiérarchiser les risques, concevoir des solutions pertinentes dans un mix coûts / risques favorables à l’entreprise. Les conseillers en assurances, quant à eux, ont une parfaite connaissance du marché, ainsi que les compétences nécessaires pour effectuer une cartographie des principales vulnérabilités de l’entreprise, mener des appels d’offres auprès d’assureurs en phase avec les attentes et, enfin, comparer les prestations. C’est la garantie de bénéficier de la meilleure couverture au meilleur tarif.

Par Christophe Alaux et Benoît de Fontenay, Associés d’Euklead, respectivement expert Télécoms et Assurances