Le Risque Cyber ou le prochain fléau
Le risque cyber peut toucher toutes les entreprises, quels que soient leur taille ou leurs secteurs d’activité. Dans sa première étude "Lumière sur la Cyber Assurance" publiée en Mai 2021 et réalisée avec huit grands courtiers en assurance spécialistes du Cyber Risk, l’AMRAE note le très fort accroissement des sinistres entre 2019 et 2020 puisque le montant des indemnisations versées passe de 73 Millions € en 2019 à 217 Millions€ en 2020.
Cinq étapes pour lutter contre le risque cyber
Étape n°1 : Connaitre le cyber risque sur le bout des doigts pour se préparer à y lutter
Le risque cyber est une intrusion non autorisée dans un système d’information (SI). Cette intrusion, peut générer des pertes financières, des interruptions de l’activité et entacher la réputation d’une entreprise.
Les hackers peuvent utiliser plusieurs techniques pour entrer dans le SI d’une entreprise. Les plus populaires sont le phishing (qui permet à un intrus d’accéder à des données confidentielles) et le rançonnage (il s’agit de venir crypter les données pour en empêcher l’accès). L’objectif de ces attaques est multiple :
- la criminalité : vols de données, ou données indisponibles/altérées et rançon
- l’espionnage
- la déstabilisation d’un pays en ciblant les secteurs stratégiques
Étape n°2 : Apprendre les techniques de luttes contre le cyber risque
- Identifier les activités et les processus sensibles au sein de l’entreprise puis cloisonner les systèmes
- Identifier les données sensibles au sein de l’entreprise
- Avoir un plan de repli en cas de cyberattaque
- Penser au cyber risque dès le lancement d’un nouveau projet
- Cartographier les risques cybers de l’entreprise et de ses partenaires
Étape n°3 : Trouver un contrat d’assurance contre le cyber risque
Il existe des contrats d’assurances pour le cyber risque. Selon les assureurs, 98% des sinistres cybers assurés sont payés ! Or trop peu d’entreprises sont assurées et les risques résiduels sont difficiles à estimer…
Cependant, le coût des attaques étant de plus en plus élevé, deux problématiques propres au fonctionnement des assurances se pose :
- le principe de mutualisation reposant sur une corrélation entre d’une part le risque, sa probabilité et son coût, et d’autres part les cotisations
- le fait générateur et le dommage causé, avec en conséquence l’assurabilité du risque.
L’ANSSI et les assureurs l’ont bien compris, le coeur du sujet devient la prévention, et donc l’accompagnement de toutes les entreprises, quelle que soit leur taille. L’assureur, partenaire de l’entreprise, est le plus à même pour accompagner l’entreprise dans sa compréhension du risque cyber lié à ses activités, l’organisation de ses défenses ainsi que le niveau d’assurabilité potentiel.
Etape n°4 : En cas d’attaque, que faire ?
- Déclarer l’attaque sur le site cybermalveillance.gouv.fr
- Contacter son assureur
- En cas de demande de rançon, NE PAS payer
- Revoir et reconstruire son système de cyber défense
Etape n°5 : Lire le Guide de l’AMRAE et de l’ANSSI sur le risque Cyber
Le guide « Maitrise du risque numérique - L’atout confiance » est disponible en français et en anglais sur les sites internet de :
- l’ANSSI : https://www.ssi.gouv.fr/guide-maitrise-risque-numerique-atout-confiance
- l’AMRAE : https://www.amrae.fr/guide-amrae-anssi.
Article proposé par : Océane FROIS - Souvik SATPATHY – Slim SEDIRI - Baran UFAK
Promotion 2021 - Programme MBA Risque Contrôle Conformité