Comment s'assurer contre les pirates et la cybercriminalité

 |   |  747  mots
Copyright Reuters
Copyright Reuters (Crédits : (c) Copyright Thomson Reuters 2011. Check for restrictions at: http://about.reuters.com/fulllegal.asp)
Les hackers font désormais partie du quotidien des entreprises. Comment identifier les risques ? Comment se protéger ? Comment se faire indemniser. Autant de question traitées lors d'un atelier sur la cybercriminalité lors des Rencontres Amrae à Deauville, l'association des risks managers.

Les attaques de cybercriminels se multiplient. Outre le piratage du fichier de clients de la playstation de Sony, Bank of America en mars 2011, EDF le 4 avril et bien d'autres ont eu à faire face à une agression informatique l'an dernier. Des affaires dont le poids économiques est loin d'être négligeable. Le piratage du fichier de Sony a par exemple entraîné la perte de 80 millions de données et au total ce sinistre représente un coût de 73 millions d'euros. "C'est du même ordre qu'un gros sinistre industriel", observe Guillaume de Chatellus, directeur des risques d'entreprises province chez Generali. Pour cette raison, l'atelier organisé jeudi à Deauville lors des Rencontres annuelles de l'Amrae, l'association des risks managers, a connu une forte affluence.

Toutes les entreprises seront bientôt obligées d'avertir quand elles sont victimes d'une cyberattaque

Toute la difficulté est justement d'évaluer l'ensemble des coûts d'un acte de piratage ou de fraude informatique pour une entreprise. Le seul coût de notification de perte (ou de fraude) d'une donnée aux autorités, aux personnes ou aux entreprises concernées peut varier de 20 à 200 euros par donnée. Quand il s'agit de millions de données, la facture monte vite ! Aux Etats-Unis la notification (c'est à dire le fait d'avertir la puissance publique et le victimes potentielles) est obligatoire pour toutes les entreprises mais en France, seuls des entreprises spécifiques comme les opérateurs télécom  y sont actuellement contraints...Pour l'instant, car une proposition de directive a été déposée le 25 janvier visant à étendre cette obligation à tout type d'entreprise en France et dans les pays de l'Union européenne.

L'évaluation est indispensable pour lancer une enquête judiciaire

En plus de coût de notification aux autorités et aux victimes, l'entreprise qui subit une cyber attaque peut faire face à une perte de chiffre d'affaire et à des surcoûts de fonctionnement pour remettre ses systèmes informatiques en état. Elle peut avoir à subir une amende et lorsque des tiers sont touchés, elle peut devoir verser des indemnités à la suite de réclamations. Mais comme le souligne Guillaume de Chatellus de Generali, il faut aussi prendre en considération les conséquences immatérielles sur la fidélité des clients, sur la réputation et la notoriété, sur le capital confiance de l'entreprise. Autant de valeurs immatérielles dont la dégradation est difficile à chiffrer.
Pourtant, il est essentiel pour l'entreprise d'évaluer les dommages entraînés par une attaque informatique. "C'est important d'avoir une bonne idée de ce que cela coûte à la victime car c'est décisif pour nous inciter à agir. Il faut aussi indiquer le délai dans lequel le système défaillant doit être mis en oeuvre", explique Eric Freyssinet, lieutenant-colonel de gendarmerie, chef de la division de lutte contre la cybercriminalité. A défaut d'une évaluation précise, "le risque est qu'il n'y ait pas d'enquête judiciaire...car il nous faut des arguments pour convaincre les magistrats", ajoute-t-il.

Une assurance spécifique plafonée à 50 millions d'euros

Il existe des assurances contre les risques de cyber attaques. "On peut trouver 50 millions d'euros de garanties sur le marché français", indique Luc Vignancour, directeur adjoint du département Finpro du courtier Marsh. La plupart des police couvrant spécifiquement les cyber-risques ont des plafonds de garanties de 50 000 euros à 15 millions. Jusqu'à cette somme, un seul assureur souscrit le contrat. Au delà de 15 à 50 millions d'euros, il s'agit d'un contrat en coassurance. Peu d'assureurs sont toutefois spécialistes de ces risques sur le marché français et tous sont anglo-saxons. Pour de grandes entreprises ce plafond de 50 millions peut sembler faible, il peut toutefois être augmenté en faisant appel à des capacités à l'étranger.
L'autre solution peut être d'intégrer des garanties spécifiques dans des polices plus générales. L'assurance dommages aux biens peut prévoir d'indemniser les pertes de chiffres d'affaires et autres dommages matériels après une cyberattaque. La police en responsabilité civile générale peut elle aussi avoir une clause couvrant les coûts des réclamations après une cyberattaque. Et la police couvrant les risques de fraude peut inclure aussi les fraudes informatiques ou via les réseaux sociaux par exemple. Encore faut-il que les assureurs soient d'accord pour élargir leurs contrats. Or très souvent ces risques, liés à l'informatique et leurs conséquences, sont justement exclus des polices d'assurance plus générales.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 10/02/2012 à 16:57 :
Skynet va tous nous enterrer de toute façon...
a écrit le 10/02/2012 à 15:10 :
En principe. J'écris bien : en principe. Une "assurance" contre tout dégât informatique est aussi inutile qu'un CDS. Pour deux raisons diamétralement "opposées" que sont la cause et l'effet. Un assureur connait PARFAITEMENT les chiffres des dégâts dans l'économie réelle. Maison, voiture, salarié, humain sur la planète. Soit, il peut aussi avoir les chiffres des pays qui peuvent faire défaut, mais pas des cours de tout autre produit. En informatique, il est impossible de tout sécuriser. Deux machines reliées par un fil peuvent communiquer. Soit, les clauses des assureurs seront suffisamment bornées pour pouvoir "prouver" que n'importe quel système n'a pas été protégé. Sinon, bonne guerre cybernétique à tous. La guerre économique finissait par devenir ennuyeuse.
Réponse de le 10/02/2012 à 20:00 :
C'est le métier de l'assureur d'estimer un risque et de proposer de le couvrir. Lorsqu'il possède une bonne base statistique, l'assureur peut réaffiner son offre, mais on ne peut pas lui attribuer une connaissance "parfaite", c'est un peu trop idéaliste. D'autre part, le fait qu'une maison ne puisse être 100% sécurisée ne signifie pas qu'elle n'est pas assurée, donc même si un système d'information n'est pas fiable à 100%, il peut être assuré. En revanche, la raison pour laquelle l'assurance ne peut exister est la trop grande importance financière du risque à assumer. Même si la probabilité est faible, il faut couvrir le risque avec des fonds propres qu'il faut bien alimenter. Cela entraine un coût d'assurance élevé qui est plus efficacement investi dans la sécurisation du système d'information. Mon avis est que l'offre d'assurance peut se développer, mais sous la forme d'offres techniques, remplaçant par un contrat "clé en main" les offres contractuels avec des prestataires extérieurs. Par exemple, une assurance "perte de données" ,ne seraient ni plus ni moins qu'une offre de souscription à un stockage distant automatisé des données.
Réponse de le 10/02/2012 à 22:05 :
Les assureurs manquent peut-être encore de bases statistiques fiables pour assurer vraiment leurs clients.
a écrit le 10/02/2012 à 12:47 :
Comment s'assurer contre la cybercriminalité : d'abord il faudrait s'assurer contre la mafia des financiers (banques, assurances,...) qui sont des groupes encore plus parasites, aux vues du plus grand hold-up de tous les temps qui a lieu actuellement (faire payer par les peuples les risques qu'ils ont pris, les bonus et les salaires exorbitants de la finance parasite)
Réponse de le 10/02/2012 à 15:01 :
Le pire est que vous n'avez pas tort, Candide. Mais ils commencent à craindre pour leur commerce, donc, tous les espoirs sont permis.
a écrit le 10/02/2012 à 8:06 :
En n'utilisant pas "windaube" qui est une passoire informatique !
Réponse de le 10/02/2012 à 11:15 :
Presque, Pmxr. Car 80% des serveurs sont sous Linux. Ce n'est pas, dans CE cas, le système d'exploitation qui compte, mais les fameuses requêtes SQL qui autorisent ou non l?accès. Et là, elles sont plus ou moins bien faites par les programmeurs. Souvent moins, d'ailleurs. Il faut aussi ne pas perdre de vue qu'un hacker (j'en ai connu un qui avait un QI et une créativité qui laissaient pantois) sera toujours en avance sur les meilleures protections. Puisque, en plus de vouloir gagner de l'argent, il s'agit aussi d'un défi qui lui est lancé. En fait, c'est l'architecture de base de toute machine qui est reliée au net qui doit être sécurisée. Et non l'ajout de barrages hypothétiques fait par la suite. Hors, bien souvent, l'architecture a été construite à grand renfort de patch et couches successives. Soit, une usine à gaz. Sinon, au niveau PC, oui, windows est une usine à failles.
Réponse de le 10/02/2012 à 15:33 :
"windaube" n'est pas qu'une passoire, c'est une faille de sécurité! Les serveurs (les gros ordinateurs centraux, pas les postes PC) sont sécurisés. Ils ne sont pas infaillibles, mais leurs attaques nécessitent un ciblage très précis pour une attaque sur mesure. Ce ciblage consiste à connaitre l'architecture du système d'information, l'emplacement des serveurs sur le réseau, les moyens de s'y connecter, les logiciels utilisés, et surtout les versions de ces logiciels. C'est un travail de renseignement qui ne tombe pas du ciel. Or c'est là que "windaube" constitue la faille. "windaube" est devenu de facto le standard sur les postes clients (pc). Donc il fait parti du système d'information de l'entreprise, les salariés accèdent de manière sécurisée aux serveurs via des postes sous "windaube", etc. Mais "windaube" est très vulnérable aux virus. De plus les virus n'ont aucune raison d'être détectés ou recherchés s'ils restent discrets.
Comme les anti-virus ne sont principalement que des catalogues de codes infectés, les virus peuvent échapper sans mal aux contrôles anti-virus (quand ils ne ciblent pas l'anti-virus lui-même, ce qui est encore plus permissif et discret _ camouflage du scan de l'ordinateur!). De plus, la propagation du virus étant facile, la cible n'a pas besoin d'être un ordinateur de l'entreprise attaquée. Dès lors qu'il y a une passerelle (connection à internet depuis l'entreprise, tranfert par clé USB d'un document), il y a un moyen d'intrusion. Les PC sous windaube vont donc servir à renseigner puis inoculer l'attaque logicielle. L'exemple le plus emblématique est celui de Stuxnet. Pour moi, ce n'est pas un cas isolé, c'est une procédure de piratage contre laquelle les entreprises sont mal protégées, très vulnérables. Merci "windaube"!
a écrit le 10/02/2012 à 7:28 :
Bonjour,
Il existe déjà une solution pour "s'assurer" contre la Cybercriminalité : http://www.cyberprotect.fr/
Cordialement,

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :