#NEWS

13/12/2017

Risques cyber – La menace permanente

Plus d’un quart des PME & ETI françaises auraient été victimes de cybermalveillance l’an dernier, mais à peine 5 % d’entre elles sont assurées contre ces risques devenus majeurs. La menace ne cesse de grandir et les attaques informatiques sont de plus en plus complexes et diverses. Comment réduire son exposition et protéger son entreprise ?

 

L’environnement légal et réglementaire évolue et s’apprête à imposer d’importantes obligations aux entreprises qui traitent des données personnelles ou commerciales. Les conséquences financières d’une défaillance criminelle ou accidentelle sont passées au 1er rang des préoccupations des grandes entreprises. Pourtant les pratiques sont encore loin d’être exemplaires et les failles restent multiples.

 

 

Pourquoi cette accélération constante ?

 

En une année, les attaques ont progressé de plus de 50 %, quand leur coût pour l’économie globale est estimé entre 375 et 575 milliards de dollars.

 

Quatre facteurs aggravants expliquent pour partie la ruée vers ce nouvel eldorado :

 

– La croissance exponentielle de data stockées par les entreprises rend de plus en plus complexe leur sécurisation,

 

– L’absence de maîtrise des solutions d’externalisation (Cloud Computing) par les PME accroit leur vulnérabilité,

 

– Le blocage des systèmes est à la portée d’apprentis criminels qui achètent des solutions en mode SAS sur le darkweb pour rançonner leurs victimes,

 

– L’exposition à internet et aux réseaux sociaux finit d’achever de planter le décor de cette murder party dont les data sont l’enjeu. Les informations clients récupérées ne cessent de prendre de la valeur.

 

 

Quelles responsabilités ?

 

Les équipes dirigeantes d’entreprises font actuellement face au paradoxe de la transformation : alors que fin 2016, plus d’un tiers des ETI avaient enclenché un plan de digitalisation, à peine plus de 20 % d’entre elles se déclarent concernées par la cybersécurité.

 

Les solutions de protection sont de plus en plus complexes et interdépendantes, rendant parfois le sujet opaque pour les Dirigeants. Au-delà de l’impact opérationnel, plusieurs d’entre eux ont vu leur responsabilité être mise en cause, et celle de leur entreprise. Dans certains cas, ce type de risque a pu provoquer leur faillite.

 

La question « Quand et combien va nous coûter une cyberattaque ? » est un sujet d’actualité que doivent affronter et traiter les Comités de direction.

 

 

Pourquoi la cyber est aussi un enjeu d’image ?

 

It takes twenty years to build a reputation and five minutes to ruin it. If you think about that, you’ll do things differently.” La formule de Warren Buffet résume assez bien la situation ; et les deux dernières attaques de ransomware ont démontré :

 

– L’immédiateté et la rapidité de la diffusion de l’information par les pirates qui sont aussi des experts de la communication,

 

– L’effet amplificateur, l’impossibilité de contenir l’information, l’absence de frontières, la rapidité de la viralité de l’information sur le piratage,

 

– « L’irréalité » du dommage : difficile de faire un point sur la situation pour présenter des faits.

 

 

Comment aborder la cybersécurité ?

 

Dans un monde idéal, les entreprises auraient des ressources illimitées leur permettant d’instituer des mesures de sécurité tout en poursuivant leur croissance et leurs programmes d’innovation.

 

Loin de cette utopie, l’élimination des risques semble de plus en plus inenvisageable. C’est le réalisme qui prédomine et le concept de cyber-résilience qui vise le financement couplé du niveau raisonnable de protection et de la réparation des cyber-préjudices. Encore faut-il identifier les priorités…

 

 

Quelles solutions d’assurance ?

 

Selon PwC, moins de 5 % des entreprises françaises disposent d’une cyber-assurance. Il s’agit ici de compléter les couvertures traditionnelles par une solution dédiée capable de garantir l’indemnisation des dommages subis et causés suite à une atteinte à la disponibilité des systèmes d’information, leur intégrité ou la confidentialité des données. Deux domaines doivent être garantis :

 

– Les Dommages et Pertes pour les incidents subis et leurs conséquences sur son activité,

 

– Les Responsabilités pour indemniser les préjudices par ses clients et fournisseurs.

 

Les retours d’expérience démontrent que l’indemnisation seule ne suffit pas ; il faut pouvoir agir très vite. Aussi, cela implique que les dirigeants puissent disposer de différents services d’assistance et avoir accès à un panel d’experts en gestion de crise (informatique, juridique et perte d’image).

 

C’est par la cohérence des actions entre les équipes de Direction et la Direction des Systèmes d’Information, la sensibilisation et la formation des collaborateurs et enfin la mise en place d’une stratégie de cyber-résilience que les dirigeants pourront préserver leurs systèmes et data, et optimiser la protection de leur entreprise.

 

 

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr