Cyberattaques : un groupe de travail du G20 planche sur des critères communs pour protéger les entreprises

Le Conseil de stabilité financière (FSB), dépendant du G20, veut mieux définir les règles visant à faire remonter les informations liées à la cyberdélinquance et à harmoniser les déclarations de litiges imposées aux institutions financières. L'enjeu est crucial : alors que les risques cyber explosent partout dans le monde - le coût de ces actes malveillants est de 1% du PIB mondial en 2020 - la création d'un processus commun et unifié permettrait de mieux répondre aux attaques, de renforcer la prévention. In fine, il s'agit de participer à l'émergence du marché de la cyberassurance, encore balbutiant en France.

5 mn

Les pertes mondiales imputables aux attaques informatiques ont atteint les 1.000 milliards de dollars en 2020, soit plus d'1% du PIB mondial
Les pertes mondiales imputables aux attaques informatiques ont atteint les 1.000 milliards de dollars en 2020, soit plus d'1% du PIB mondial (Crédits : Reuters)

Hameçonnage, rançongiciel, espionnage par point d'eau... La cyberdélinquance dans le monde est en pleine explosion, notamment depuis la pandémie de coronavirus qui a généralisé le télétravail et accéléré la transformation numérique des entreprises. Une transformation à marche forcée qui ne s'est pas accompagnée par un renforcement des défenses numériques de ces organisations.

Pour mieux envisager une riposte contre cette menace qui touche de plein fouet les acteurs économiques et organisations publiques, et qui menace la stabilité financière, la remontée d'informations et l'harmonisation des règles sont cruciales, estiment les experts du secteur. C'est l'un des premiers étages de la lutte contre la délinquance numérique, qui peut, dans certains cas, coûter des millions d'euros aux entreprises.

Les pertes mondiales imputables aux attaques informatiques ont atteint les 1.000 milliards de dollars en 2020, soit plus d'1% du PIB mondial, selon l'éditeur de logiciels antivirus McAfee et le Centre d'études stratégiques et internationales (CSIS), qui ont interrogé 1. 500 décideurs informatiques. Deux tiers des entreprises interrogées ont subi une cyberattaque en 2020. Ces pertes sont en hausse de 50% par rapport à 2018.

Harmonisation et remontées d'informations

Le Conseil de stabilité financière (FSB), organe dépendant du G20, a ainsi publié un rapport ce mercredi. Le FSB a pour mission principale de définir les règles qui permettent de veiller à la stabilité du système financier. L'organisation entend développer des outils pour permettre de mieux se défendre en commençant par définir ce qui doit être notifié aux autorités de surveillance.

L'organisation propose trois objectifs : "développer les meilleures pratiques en identifiant un ensemble minimum de types d'informations dont les autorités peuvent avoir besoin ; identifiez les types communs d'informations à partager ; créez des terminologies communes pour le signalement des cyberincidents."

De fait, si l'obligation pour les institutions financières (compagnies d'assurance, par exemple) de rapporter les dysfonctionnement est en place, les règles ne sont pas uniformes. Il existe certes des dénominateurs communs (l'impact de l'incident sur les clients, la réputation de l'établissement ou encore la façon dont l'incident a été identifié). Mais les délais impartis ou encore la teneur des informations qui doivent être communiquées restent pour l'instant hétérogènes.

Le rapport note par exemple que dans certains pays, l'attaque doit être rapportée "dès qu'elle est identifiée" et dans d'autres sous 48H, voire plus. Il existe en outre d'importantes différences d'un pays à l'autre, voire à l'intérieur même d'un pays, où une cyberattaque peut devoir être notifiée à plusieurs autorités de surveillance à la fois.

Les débats sur la cyberassurance en France

Cette demande d'éclaircissement est également au cœur du sujet en France. Un rapport parlementaire, publié la semaine dernière et mené par la député Valéria Faure-Muntian (LREM), appelle par exemple les assureurs à unifier leur définition des cyberrisques et des cyberattaques.

L'objectif : pour lutter contre la cybermenace, la structuration d'un marché assurantiel est primordial. Or, aujourd'hui en France, il reste balbutiant du fait d'une équation compliquée à résoudre.

Lire aussi 11 mnFace à l'explosion des cyberattaques, le plan d'urgence des assureurs et de la gendarmerie

Alors que le risque augmente, les couvertures sont encore insuffisantes et la demande des entreprises trop faibles pour créer un véritable marché de la cyberassurance économiquement viable. L'un des éléments manquants également pour structurer ce marché est le manque d'informations et de référentiel commun. Là aussi, l'homogénéisation des critères est essentielle, et permettra de réduire l'incertitude d'exposition au risque des assureurs et donc de proposer une offre claire et calibrée.

Structurer le marché de la cyberassurance

Plus précisément, l'homogénéisation des critères et la remontée d'informations permettra de définir le périmètre des couvertures des contrats. La tendance est aujourd'hui de « sortir » la couverture du risque cyber des conditions générales des contrats pour mieux définir le risque, et par conséquent, mieux organiser le marché de l'assurance cyber. C'est également une demande de plus en forte des régulateurs, que vient rappeler le travail en cours de la FSB.

Surtout, en structurant ce segment assurantiel, c'est tout l'écosystème numérique français qui pourrait devenir plus robuste grâce à une meilleure prévention.

Cette meilleure lisibilité passe donc par un cadre commun partagé entre les institutions financières, mais également par la loi. Par exemple, le rapport parlementaire français demande l'interdiction pour toutes les compagnies d'assurance du paiement des rançongiciels tout en défendant la prise en charge des amendes administratives par les assureurs.

Lire aussi 8 mnCyberassurance : un rapport parlementaire veut interdire le paiement des cyber-rançons

5 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 19/10/2021 à 16:38
Signaler
Ce qui n'est jamais bon signe déjà que quand ils font rien c'est la cata... :-)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.