Il y a seulement un siècle, qui aurait évoqué le risque nucléaire dans la presse ? Personne ! Il y a seulement dix ans, qui aurait parlé de cyberrisques dans la presse ? Personne non plus !
C’est le propre des risques liés aux nouvelles technologies que d’être au début un sujet d’experts, de spécialistes, voire un sujet de science-fiction. Et puis, après quelques attaques, la science-fiction devient réalité, avec tous les effets dramatiques auxquels nul n’avait même osé songer. Alors, le sujet devient largement médiatisé. À cet égard, il est impressionnant de voir le nombre de livres, d’articles, de cahiers qui ont été écrits sur le cyber-risque au cours du dernier trimestre.
Mais que peut-on dire précisément aujourd’hui de ce risque ? Comment peut-on caractériser les cyberattaques ? Qui en sont les principales victimes ? Quels sont les motifs de ces attaques ? Peut-on mettre en place des méthodes de prévention ? Quelles sont enfin les couvertures assurancielles possibles et y-a-t-il un marché de la réassurance ?
Les types d’attaques sont extrêmement variés et leur criticité n’est pas toujours mesurable immédiatement, mais force est de constater qu’elles sont devenues de plus en plus sophistiquées. Elles vont du déni de service au piratage de données clients, en passant par le phishing1 d’information sur les collaborateurs, la divulgation de données sensibles de l’entreprise, le blocage des systèmes d’information ou l’inoculation de malware2. Leurs conséquences peuvent être immédiatement détectées ou à l’inverse ne surgir que plusieurs mois après l’attaque, mais il n’est pas rare qu’elles soient graves. Anne Souvira nous en donne un aperçu édifiant dans son article.
Abordons maintenant les ressorts qui poussent un agresseur à lancer une attaque. Les mobiles peuvent tout d’abord être d’ordre politique : il s’agit d’attenter à la réputation d’un acteur que l’on souhaite voir décrédibilisé ou affaibli. Le hacker The SnowCrew se présente ainsi comme un nouvel acteur du jeu politique, un redresseur de torts comme pouvait l’être Robin des Bois à une époque, un acteur de la transparence cherchant à améliorer le fonctionnement de notre démocratie et à dénoncer les errements d’un ou de plusieurs États. Mais les attaques ont – dans leur grande majorité – des visées économiques et financières : espionnage de la concurrence, appât du gain, demande de rançon, revente de données personnelles sur un marché noir, mise à l’arrêt temporaire des capacités de travail d’un concurrent. Enfin, ils peuvent prendre une dimension géostratégique comme l’ont révélé les affaires WikiLeaks ou Snowden.
Tous les auteurs de ce cahier se rejoignent pour considérer que la meilleure des protections contre ce risque réside dans la sensibilisation et la formation des acteurs ainsi que dans les changements de comportements. Prendre en compte la problématique du cyber-risque doit se faire, selon Jean-Paul Mazoyer, à tous les niveaux de l’entreprise et nécessite une impulsion de la direction générale. La logique sécuritaire doit irriguer l’ensemble de l’organisation et doit être considérée comme vitale par tous les collaborateurs. De manière plus systématique, la culture de la méfiance doit prévaloir. Bien sûr, la sensibilisation ne suffit pas et des outils technologiques ont été développés pour accompagner les entreprises dans la réduction de leurs vulnérabilités. Alain Bénichou et Agnieszka Bruyère présentent dans leur article une liste exhaustive des solutions informatiques proposées par IBM à ses clients en matière de protection, détection ou gestion des incidents de sécurité informatique.
Xavier de Marnhac et Yves Mathian insistent quant à eux sur la nécessité pour la France de garder une souveraineté en matière de suivi des cyber-risques et de méthodes de protection. Ils considèrent que sur le plan institutionnel, la France s’est mobilisée à temps pour imposer aux acteurs les plus sensibles (OIV : opérateurs d’importance vitale) des normes strictes en matière de sécurité des systèmes d’information. Ils déplorent toutefois qu’en l’absence de politique industrielle de soutien au marché de la protection informatique et du cryptage, la France se retrouve aujourd’hui dans une situation de dépendance vis-à-vis d’acteurs américains, israéliens, chinois ou indiens. En tout état de cause, quelles que soient les mesures de protection mises en œuvre – juridiques, technologiques, comportementales – rien ne remplacera la définition et la mise en œuvre par les entreprises ou les organisations d’une cyberstratégie globale qui sorte de l’approche en silo, comme en témoigne Frédérick Douzet.
Le marché de l’assurance des cyber-risques s’est développé aux États-Unis dans les années 2000 et est en forte croissance. Vu la multiplicité des risques à couvrir, la cyberassurance combine en général des garanties dommages et des garanties responsabilité civile. Clotilde Zucchi nous donne un aperçu du contenu et de la disparité des contrats qui peuvent être souscrits en matière de cyberprotection. Ce marché représente en Europe moins de 500 millions d’euros tandis que le marché aux États-Unis représente plus de deux milliards de dollars américains. Ces risques sont toutefois difficiles à tarifer en raison du manque de données historiques sur les sinistres et sur leur coût effectif pour l’entreprise. Enfin, jusqu’à récemment, la taille des portefeuilles et la demande des assureurs ne justifiaient pas un appel à la réassurance. Mais de plus en plus, la gestion des cumuls de risques nécessiterait une expertise propre et une modélisation adaptée. Cette expertise est encore embryonnaire et peu mature comme le précise Didier Parsoire.
Dernière évidence qui transparaît en filigrane dans chacun des articles : nos entreprises manquent cruellement d’expertise et de compétence en matière de cyberprotection et la problématique est mal appréhendée par les dirigeants. Faisons un pari : les choses changeront quand la génération Z, qui a été élevée dès son plus jeune âge au contact d’Internet et des médias sociaux, se verra chargée de postes de responsabilités
Note
- Phishing : « hameçonnage »
- Malware : « logiciel malveillant »
