En cinq ans, avec l’explosion d’Internet dans tous les secteurs d’activité et sur toutes les fonctions, les cyber-risques sont passés de la 15e à la 2e place sur le baromètre (1) des préoccupations des entreprises. Dans le secteur de la finance, ils ont même pris la tête du classement devant les risques réglementaires(2). Les multinationales ne sont pas les seules victimes des attaques des «hackers». Souvent moins préparées et, donc, plus vulnérables, les PME et les ETI font également partie des cibles de choix des cyberpirates du monde entier. Grand assureur britannique, le Lloyd’s estime que la proportion des entreprises couvertes varie entre 7% et 17% en fonction du type de risque(3) ; pourtant, ce sont 37 % des entreprises françaises qui ont été piratées en 2017(4) et la tendance est croissante depuis cinq ans.
Trois grands types d'attaque
L’Association pour le management des risques et des assurances de l’entreprise dénombre trois grands types de risques pour les entreprises.
- L’attaque rançongicielle («ransomware», en anglais) :
Un logiciel malveillant capture les données informatiques, les chiffres, puis demande à l’entreprise attaquée de payer une rançon en échange de la clé qui rendra à nouveau ses données lisibles. En juin 2017, le logiciel NotPetya a coûté 80 millions d’euros à Saint-Gobain, qui n’était pas assurée contre ces risques (5).
- Le vol des données :
Les pirates s’attaquent aux données commerciales ou privées, aux coordonnées personnelles, bancaires ou aux secrets industriels. Quels que soient sa taille ou son secteur d’activité, une entreprise détient forcément des éléments confidentiels susceptibles d’être monnayés.
- La défaillance informatique :
L’outil informatique est rendu indisponible par un virus accidentellement «contracté» ou par une attaque volontaire contre l’entreprise telle qu’un déni de service («Denial of Service Attack», DoS en anglais), un bombardement délibéré de milliards d’octets visant par exemple à saturer un serveur interne pour le bloquer ou à rendre inaccessible le site web d’une entreprise pendant un temps plus ou moins long.
Quel que soit le cas, l’addition est très salée : le coût moyen d’une cyberattaque pour une entreprise de plus de 5 000 salariés serait de 1,3 million d’euros. Quant aux PME et ETI de moins de 1 000 salariés, elles déboursent en moyenne 300 000 euros (6).
Comment s'en prémunir
Si les grandes entreprises disposent de ressources et de moyens pour mettre en œuvre des outils efficaces contre les cyberrisques, les PME, les ETI et, pis encore, les TPE sont, elles, souvent démunies. Pour les aider, l’Agence nationale de la sécurité des systèmes d’information a publié un guide téléchargeable sur son site (7). On y trouve notamment cinq grandes préconisations.
- La création et l’administration d’un mot de passe
Compte tenu du nombre d’intrusions dont les entreprises sont victimes, il est important d’élaborer une véritable politique sur les mots de passe. L’entreprise doit définir des règles de conception (combien de signes et de quel type ?) et de gestion (à qui le communique-t-on, comment et où l’enregistre-t-on, quand le change-t-on?).
- La sauvegarde des données
Pour protéger l’entreprise en cas d’attaque de virus ou de rançongiciel — payer la rançon ne garantit en effet pas toujours la «libération» des informations.
- La sécurisation des réseaux
D’une manière générale, le filaire demeure plus sûr que le sans-fil. L’assistance technique de votre fournisseur d’accès à Internet peut vous aider à configurer l’installation wi-fi en respectant les règles de base de cybersécurité.
- Les précautions sur tablette et smartphone
Ne pas enregistrer les mots de passe, sauvegarder régulièrement, être prudent en téléchargeant les applis, etc.
- Les règles de prudence sur messagerie électronique
Ne pas ouvrir de pièce jointe venant d’inconnus, vérifier l’adresse des liens figurant dans le corps d’un mail, etc.
Enfin, on dit souvent que la faille de sécurité la plus fréquente est située entre le fauteuil et le clavier : c’est l’utilisateur. Philippe Trouchaud, expert cybersécurité de PwC (ex-Pricewaterhouse Coopers), estime que 35 % des incidents sont générés par les collaborateurs. Les salariés doivent donc être sensibilisés : la cybersécurité est l’affaire de tous. Il faut communiquer sur les conséquences, faire acquérir les bons réflexes, aborder les différents risques, tels que le hammeçonnage («phishing») ou l’usurpation d’identité. Cette culture de la cybersécurité doit être portée et encouragée par le chef d’entreprise qui peut par exemple choisir d’en confier la responsabilité à un collaborateur. Il aura pour mission de veiller au bon fonctionnement des équipements (pare-feu, antivirus…) et de sensibiliser les salariés (rédaction d’une charte).
Et côté assurances...
Des solutions d’assurance existent. On trouve d’une part la garantie des dommages subis et, d’autre part, la responsabilité civile.
- La première garantit la perte d’exploitation qui découle de la cyberattaque, de même que les frais associés. En effet, il faut savoir que les entreprises qui subissent un vol de données ont l’obligation d’informer l’ensemble des personnes dont les données ont été dérobées. Cela peut coûter très cher. Certains assureurs prennent également en charge l’atteinte à la réputation.
- La seconde couvre les dommages causés aux tiers. Car les victimes peuvent se retourner contre l’entreprise attaquée. L’assureur proposera, au préalable, des solutions de prévention aux entreprises novices ne disposant pas ou peu de compétences informatiques ou mettra, a posteriori, à leur disposition un service de gestion de crise.
Daniel Azarian (Ai. 199)
Assistance aux victimes de cyberattaque
Avec l’augmentation constante du nombre d’attaques informatiques, le gouvernement a décidé d’offrir à tous, professionnels et particuliers, une assistance. Cette plateforme numérique, cybermalveillance.gouv.fr, est disponible depuis le 17 octobre. Elle permet d’accéder à des contenus de prévention et de sensibilisation à la sécurité et, pour les victimes, d’être mises en relation avec des prestataires de proximité susceptibles de les aider techniquement. Les données recueillies permettront par ailleurs d’enrichir au fur et à mesure un observatoire du risque numérique, en vue d’anticiper les futures manœuvres frauduleuses.
(1) Baromètre mondial annuel 2018 d’Allianz.
(2) Dans «la Tribune» du 18 janvier 2018.
(3) https://www.lloyds.com, onglet «News and Risk Insight», rubrique «Risk Reports», puis «Emerging Risks Library», document «Counting the Cost», du 10 juillet 2017.
(4) Dans «lesEchos.fr», le 13 février 2018, «Cybersécurité en France : urgence absolue».
(5) Dans «l’Argus de l’assurance» du 9 février 2018.
(6) Selon NTT Security, https://www.nttsecurity.com/fr-fr.
(7) www.anssi.gouv.fr.
