Des risques tou­jours com­pli­qués à as­su­rer

IT for Business - - SOMMAIRE - PA­TRICK BRÉBION

Confron­tées à une mon­tée en charge des at­taques, les en­tre­prises s’as­surent pour les dé­gâts im­ma­té­riels, les pertes de don­nées, les uti­li­sa­tions frau­du­leuses ou en­core la dé­gra­da­tion de leur image. Les as­su­reurs cherchent en­core leurs marques pour ré­pondre à ces be­soins.

Le ran­som­ware Ryuk, le che­val de Troie Coin­hive, le mal­ware Cryp­to­loot pour ne ci­ter que les plus ac­tifs et les plus ré­cents... les me­naces sont de­ve­nues ré­cur­rentes et mul­ti­formes et touchent toutes les or­ga­ni­sa­tions, tant leur di­gi­ta­li­sa­tion s’ac­com­pagne d’une aug­men­ta­tion de la sur­face d’at­taque po­ten­tielle. Dif­fi­cile d’avoir un pa­no­ra­ma pré­cis tant les en­tre­prises res­tent dis­crètes sur leurs mésa­ven­tures, mais quelques chiffres sou­lignent la réa­li­té très tan­gible de ces me­naces. Se­lon le « ba­ro­mètre de la cy­ber-sé­cu­ri­té des en­tre­prises », da­tant de jan­vier 2018, du Club des Ex­perts de la Sé­cu­ri­té de l’in­for­ma­tion et du Numérique (CESIN), 79 % des en­tre­prises on été tou­chées par des cy­be­rat­taques au moins une fois et 28 % plus de 10 fois en 2017. Une cer­ti­tude s’im­pose par ailleurs : outre la mise en place d’une vraie po­li­tique de sé­cu­ri­té et des pra- tiques as­so­ciées, la cy­ber-as­su­rance de­vient une com­po­sante in­dis­pen­sable dans la ges­tion des risques. Une pro­blé­ma­tique dé­jà bien prise en compte par les en­tre­prises du SBF120, mais pas en­core vrai­ment par les ETI et les PME.

Face à la di­ver­si­té de ces en­tre­prises et à leur ni­veau de sé­cu­ri­sa­tion tra­di­tion­nel­le­ment moins éle­vé, dif­fi­cile pour les as­su­reurs, qui dis­posent de peu d’his­to­rique, de cal­cu­ler les primes en fonc­tion de dé­gâts mal connus et dont la fré­quence n’est pas non plus bien iden­ti­fiée à une si grande échelle. L’éla­bo­ra­tion de contrats « gé­né­riques » achoppe dé­jà sur des ques­tions de base : comment qua­li­fier une cy­be­rat­taque ? Et avant ce­la, même, comment ob­te­nir une photographie de l’état du SI de l’en­tre­prise au mo­ment de l’at­taque (les an­ti­vi­rus étaient-ils à jour par exemple) ?

Une er­reur, pour les en­tre­prises, se­rait de mi­ser sur la res­pon­sa­bi­li­té des four­nis­seurs d’ou­tils de sé­cu­ri­té. « Pour ces der­niers, la porte de sor­tie la plus simple consiste à dire que vous n’avez pas pris la so­lu­tion com­plète », sou­ligne Mi­chel Ju­vin, membre du CESIN.

Cô­té as­su­ran­tiel, deux ap­proches pré­valent pour l’ins­tant sans qu’un consen­sus ait émer­gé jus­qu’à pré­sent. « Plus ac­cou­tu­més à consi­dé­rer la don­née per­son­nelle comme une mar­chan­dise comme une autre, les as­su­reurs amé­ri­cains (AIG...) pri­vi­lé­gient des contrats ba­sés sur l’at­teinte à sa va­leur, en par­ti­cu­lier à la vie pri­vée . A contra­rio, les eu­ro­péens (Axa, Ge­ne­ra­li...) sont plus en­clins à prendre en compte l’ac­ti­vi­té, la re­mise dans l’état ini­tial, les pertes d’ex­ploi­ta­tion... », ex­plique Jean-laurent San­to­ni, membre de la FNTC, spé­cia­liste du su­jet. Four­nis­seur de so­lu­tions de sé­cu­ri­sa­tion des flux, l’opé­ra­teur Hub One est en pleine ré­flexion sur le su­jet. Mar­co Pas­qua­lot­to, son di­rec­teur ju­ri­dique et ré­gle­men­taire dé­crit : « L’environnement a chan­gé et exige entre autres une nou­velle tra­ça­bi­li­té. Le mar­ché n’est pas en­core ma­ture pour ré­pondre à ce der­nier. Les as­su­reurs mettent des ex­clu­sions très gé­né­riques alors que la qua­li­fi­ca­tion des si­nistres de­meure par­fois dif­fi­cile ». Dans ce contexte, « la ques­tion du rôle de con­seil et d’ac­com­pa­gne­ment de l’as­su­reur à l’égard de l’as­su­ré est un point im­por­tant de dif­fé­ren­cia­tion », ajoute-t-il.

Du cô­té de l’en­tre­prise, la prin­ci­pale dif­fi­cul­té ré­side dans l’éta­blis­se­ment pré­cis des clauses contrac­tuelles en re­gard des risques avé­rés et po­ten­tiels et du coût de la pro­tec­tion. « Une né­ces­si­té qui im­plique une ap­proche trans­ver­sale. Si le RSSI est bien sûr concer­né au pre­mier chef, il doit tra­vailler sur ces clauses avec les res­pon­sables des achats, des risques, du ju­ri­dique, sans ou­blier la DSI », sou­ligne Mi­chel Ju­vin. Autre dé­fi et non des moindres : « il faut vé­ri­fier que la po­li­tique de sé­cu­ri­té mise en oeuvre chez les sous-trai­tants est au même ni­veau que chez le don­neur d’ordres », rap­pelle Mi­chel Ju­vin. Ce­la se­ra ra­re­ment le cas, et il y a peu de chances que les sous-trai­tants soient cou­verts par une cy­ber-as­su­rance si les as­su­reurs ne sont pas ca­pables d’éla­bo­rer des offres gé­né­riques et simples à contrac­ter.

« Le RSSI doit tra­vailler main dans la main avec le DSI et les autres res­pon­sables pour éta­blir les clauses de la po­lice de cy­ber-as­su­rance » Mi­chel Ju­vin, membre du CESIN

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.