latribune.fr
Les pertes mondiales imputables aux attaques informatiques ont atteint les 1.000 milliards de dollars en 2020, soit plus d'1% du PIB mondial
Reuters
... butiant en France.
Hameçonnage, rançongiciel, espionnage par point d'eau... La cyberdélinquance dans le monde est en pleine explosion, notamment depuis la pandémie de coronavirus qui a généralisé le télétravail et accéléré la transformation numérique des entreprises. Une transformation à marche forcée qui ne s'est pas accompagnée par un renforcement des défenses numériques de ces organisations.
Pour mieux envisager une riposte contre cette menace qui touche de plein fouet les acteurs économiques et organisations publiques, et qui menace la stabilité financière, la remontée d'informations et l'harmonisation des règles sont cruciales, estiment les experts du secteur. C'est l'un des premiers étages de la lutte contre la délinquance numérique, qui peut, dans certains cas, coûter des millions d'euros aux entreprises.
Les pertes mondiales imputables aux attaques informatiques ont atteint les 1.000 milliards de dollars en 2020, soit plus d'1% du PIB mondial, selon l'éditeur de logiciels antivirus McAfee et le Centre d'études stratégiques et internationales (CSIS), qui ont interrogé 1. 500 décideurs informatiques. Deux tiers des entreprises interrogées ont subi une cyberattaque en 2020. Ces pertes sont en hausse de 50% par rapport à 2018.
Le Conseil de stabilité financière (FSB), organe dépendant du G20, a ainsi publié un rapport ce mercredi. Le FSB a pour mission principale de définir les règles qui permettent de veiller à la stabilité du système financier. L'organisation entend développer des outils pour permettre de mieux se défendre en commençant par définir ce qui doit être notifié aux autorités de surveillance.
L'organisation propose trois objectifs : "développer les meilleures pratiques en identifiant un ensemble minimum de types d'informations dont les autorités peuvent avoir besoin ; identifiez les types communs d'informations à partager ; créez des terminologies communes pour le signalement des cyberincidents."
De fait, si l'obligation pour les institutions financières (compagnies d'assurance, par exemple) de rapporter les dysfonctionnement est en place, les règles ne sont pas uniformes. Il existe certes des dénominateurs communs (l'impact de l'incident sur les clients, la réputation de l'établissement ou encore la façon dont l'incident a été identifié). Mais les délais impartis ou encore la teneur des informations qui doivent être communiquées restent pour l'instant hétérogènes.
Chaque jour à 13h, l’essentiel de l’actualité industrielle.
Le rapport note par exemple que dans certains pays, l'attaque doit être rapportée "dès qu'elle est identifiée" et dans d'autres sous 48H, voire plus. Il existe en outre d'importantes différences d'un pays à l'autre, voire à l'intérieur même d'un pays, où une cyberattaque peut devoir être notifiée à plusieurs autorités de surveillance à la fois.
Cette demande d'éclaircissement est également au cœur du sujet en France. Un rapport parlementaire, publié la semaine dernière et mené par la député Valéria Faure-Muntian (LREM), appelle par exemple les assureurs à unifier leur définition des cyberrisques et des cyberattaques.
L'objectif : pour lutter contre la cybermenace, la structuration d'un marché assurantiel est primordial. Or, aujourd'hui en France, il reste balbutiant du fait d'une équation compliquée à résoudre.
Alors que le risque augmente, les couvertures sont encore insuffisantes et la demande des entreprises trop faibles pour créer un véritable marché de la cyberassurance économiquement viable. L'un des éléments manquants également pour structurer ce marché est le manque d'informations et de référentiel commun. Là aussi, l'homogénéisation des critères est essentielle, et permettra de réduire l'incertitude d'exposition au risque des assureurs et donc de proposer une offre claire et calibrée.
Plus précisément, l'homogénéisation des critères et la remontée d'informations permettra de définir le périmètre des couvertures des contrats. La tendance est aujourd'hui de « sortir » la couverture du risque cyber des conditions générales des contrats pour mieux définir le risque, et par conséquent, mieux organiser le marché de l'assurance cyber. C'est également une demande de plus en forte des régulateurs, que vient rappeler le travail en cours de la FSB.
Surtout, en structurant ce segment assurantiel, c'est tout l'écosystème numérique français qui pourrait devenir plus robuste grâce à une meilleure prévention.
À lire également
Cette meilleure lisibilité passe donc par un cadre commun partagé entre les institutions financières, mais également par la loi. Par exemple, le rapport parlementaire français demande l'interdiction pour toutes les compagnies d'assurance du paiement des rançongiciels tout en défendant la prise en charge des amendes administratives par les assureurs.
latribune.fr
Pétrole : l'Irak anticipe un retour à la normale de sa production d'ici deux mois
Parcs éoliens et solaires : l’ombre de 2027 ouvre la perspective de « rachats à la casse »
Résistance aux antibiotiques : le CHU de Lyon en première ligne de la révolution des phages
Alstom, Forvia : des usines françaises passent à la défense en Allemagne
