Quelle attitude adopter face à une cybercriminalité qui se professionnalise et devient un enjeu géopolitique ? Si de nombreuses organisations optent pour une assurance, nul ne doit oublier que l’objectif est de ne pas s’en servir et que la réduction du risque demeure primordiale.
Pour nombre d’organisations, la question a des allures d’épée de Damoclès : comment gérer au mieux le risque cyber dans un contexte de démultiplication des attaques sur les systèmes d’informations ? L’interrogation est d’autant plus pressante que les entreprises sont largement conscientes d’être à la merci d’une telle déconvenue : 7 organisations sur 10 sont convaincues de devoir faire face à un épisode de ce type dans les mois à venir, 67% d’entre elles étant également conscientes de n’avoir pas pris les mesures suffisantes pour s’en protéger[1].
Vers une cybercriminalité à conséquences directes
Il est vrai que le contexte est éloquent. Qu’elles soient privées ou publiques et de toute taille, les organisations sont particulièrement exposées aux cyber-attaques, ceci quel que soit leur secteur d’activité. Dans son dernier panorama de la cybermenace 2022, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) confirme que le niveau de la menace reste très élevé. L’an dernier, 6 % des attaques par ransomwares ont concerné des grands groupes (c’est-à-dire des millions d’emplois) et 40% ont frappé des TPE, PME et ETI. Dans 23% des cas, ce sont des collectivités locales qui ont été visées (mairies, Départements, Régions…), alors que 10% frappaient les hôpitaux. Exponentielle, la tendance sur ces derniers est si lourde que certains observateurs évoquent une véritable « tempête cyber ». Le temps d’une cybercriminalité entraînant directement des pertes de vies humaines n’est pas loin, comme l’indique le Gartner dans ses prédictions 2022 sur la cybersécurité…
Un marché de la cyberassurance encore fragile
Dans un tel contexte, l’assurance face au risque cyber est clairement une option. Afin de palier des pertes très difficiles à supporter, les organisations envisagent de souscrire une cyberassurance qui permettra d’atténuer les dommages financiers directs ainsi que les coûts associés. Mais quels risques couvrir ? C’est ici que le dilemme commence. Car les points à intégrer à la réflexion sont nombreux. Violation des données, interruption de l’activité, attaque par ransomware, responsabilité civile, couverture de l’entreprise ou de la technologie opérationnelle, couverture des coûts opérationnels au-delà du travail initial de réponse à incident, dommages aux tiers, dommages physiques… La liste des éléments à cocher peut être très longue, et finalement s’avérer inutile tant les cybercriminels font preuve de créativité, pour ne pas dire de perversité, dans leurs stratégies.
Il faut également dire ici que le marché de la cyberassurance a connu ces derniers mois de profondes transformations. Confrontées à des pertes sans précédent, les compagnies ont à la fois augmenté les tarifs de leurs polices (+44% pour les grands groupes selon l’AMRAE, Association pour le Management des Risques et des Assurances de l’Entreprise) et réduit la surface assurée (d’un peu moins de 5%, toujours selon l’AMRAE). Conséquence : certains grands groupes décident de ne pas souscrire à une police, voire de créer eux-mêmes leur propre mutuelle. Quant au marché, il doit encore poursuivre son travail de modélisation, y-compris avec les éditeurs de solutions cyber.
Gérer le risque cyber avant tout
En attendant cette stabilisation, il convient de ne pas perdre de vue l’essentiel, à savoir la gestion réelle du risque cyber. Car si s’assurer demeure important, il faut conserver à l’esprit combien l’impact d’une attaque sur le système d’information de l’entreprise a des conséquences bien réelles sur une organisation, depuis la perte de chiffre d’affaires jusqu’à l’atteinte réputationnelle, en passant par la paralysie des systèmes, le chômage technique ou encore le vol de données sensibles. Dans de telles conditions, il ne faut pas seulement se préoccuper d’être en conformité avec le cadre assurantiel : il convient surtout de traiter le mal à la racine, en murissant une réflexion de grande ampleur sur la meilleure stratégie de cyberdéfense possible.
En l’espèce, en dépit du développement d’approches telles que le « Zero Trust », force est de constater que les stratégies de sécurité investissent encore majoritairement sur l’élévation d’un mur de défense. Confrontées à la cybercriminalité, nombre de nos organisations ont encore le réflexe de d’ « empiler des briques » (antivirus, EDR, SSE, Firewalls, sécurisation de l’Active Directory, etc.), au risque de créer des fissures… Car si la sécurisation de ces éléments est importante, la prise en considération de la défense post-compromission l’est tout autant. Grâce à l’Intelligence Artificielle et au Machine Learning, nous avons désormais la possibilité de détecter les mouvements latéraux internes suspects, d’identifier une attaque qui se propage et donc de l’annihiler avant même qu’elle n’aboutisse. Ce n’est pas parce qu’un cybercriminel est entré par effraction dans la place que l’affaire est perdue : s’il est entré chez nous, on peut toujours l’éradiquer et améliorer le dispositif de défense.
Dans ce contexte, de surcroit caractérisé par un marché assurantiel toujours en quête de modélisation, une urgence demeure : celle de protéger l’ensemble de nos organisations, privées comme publiques, grandes comme petites. C’est d’autant plus important que l’offre assurantielle concerne principalement les grands groupes (à hauteur de 82%) et demeure encore à mûrir. En conséquence, les TPE, les PME, les ETI, les collectivités locales ou encore les hôpitaux demeurent particulièrement exposés. La bonne nouvelle, c’est que ces organisations ont encore quelques cartes à abattre…