De phénomène émergent, le risque Cyber est entré en pleine phase d’expansion. Si les entreprises en ont fait un sujet de préoccupation majeure, des divergences subsistent quant aux stratégies à adopter.
Bien que les initiatives de prévention et de sensibilisation ne manquent pas, certains discours d’experts annoncent la couleur : les cyber-risques sont encore mal compris, et un changement de mentalité s’impose, en vue d’une démarche davantage pro-active.
Les démarches innovantes de la French Touch
Favorisant les initiatives internes, l’enseigne Decathlon a monté un dispositif de communication ad hoc, via sa branche Decathlon Technology. Dans le cadre de la campagne « La Cybersécurité #C’estCommeLeSport Votre Équipe est-elle prête ? » des contenus pédagogiques et didactiques ont été mis en ligne sur un mini site dédié, disponible en 10 langues, hébergeant notamment une série de vidéo.
« Sur le ton de l’humour et avec beaucoup de sérieux, nous avons mobilisé nos équipes chargées de la cybersécurité autour d’une campagne internationale qui interpelle et nourrit » précise ainsi Farid Illikoud, Group Chief Information Security Officer de Decathlon. « Tout a été pensé pour que chacun de nos 100 000 collaborateurs puisse être touché par cette campagne d’information et de sensibilisation au risque cyber. » En effet citant une étude IBM, « 95% des incidents de cybersécurité découlent d’une erreur humaine. Les coéquipiers sont la première porte de défense des organisations, » considère Farid Illikoud.
Evidemment, bien d’autres entreprises fourmillent d’initiatives. Les start-ups se sont naturellement emparées de ce sujet, à l’image de Stoïk, cyber-insurtech proposant des couvertures d’assurance et des logiciels de sécurité contre les cyberattaques. Avec son opération “Objectif Cyber”, Stoïk a joué coup double : vendre ses produits au service de la cybersécurité des entreprises françaises et lutter contre la pénurie de talents dans le secteur. 10% des revenus du dernier trimestre de l’entreprise seront en effet reversés afin de financer la formation d’experts en cybersécurité.
La réforme du cadre de l’assurance Cyber en débat
Le 7 septembre, le ministère de l’Économie et des Finances a proposé en Conseil des ministres « une mesure dédiée aux cyber-rançons au sein du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) ».
Prévu pour être étudié courant octobre par les parlementaires, ce projet fait cependant débat, notamment par sa réforme de l’assurance Cyber visant à clarifier les cadres de remboursement d’une rançon par un assureur. Même conditionné par un dépôt de plainte, le principe même du remboursement des rançons a été rejeté par les adhérents du Club des experts de la sécurité de l’information et du numérique (CESIN), : il s’agit essentiellement de salariés de grandes entreprises et de taille intermédiaire, 82% des 249 répondants s’étant prononcés contre lors d’un sondage interne.
Les principaux motifs avancés de ce refus sont les suivants :
- l’association s’inquiète des « pressions que pourraient exercer les assureurs auprès de leurs clients pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remédiation ».
- des risques accrus sont envisagés pour les entreprises pouvant se retrouver cataloguées comme de « bons payeurs » par les cybercriminels.
- une crainte d’un développement « d’intermédiaires indélicats pour négocier avec les criminels ».
Sur notre plateau d’AssuranceTV, le président de Stoïk Jules Veyrat avait lui-même défendu très clairement cette position : « nous ne payerons pas les rançons pour le compte de nos assurés. » Au fond ce projet risquerait d’alimenter un cercle vicieux et de nourrir ainsi la cybercriminalité. De leur côté, les assureurs avaient appelé à la définition d’un cadre explicite à propos des paiements de rançons.
Ce débat illustre la situation difficile et particulièrement tendue du marché de l’assurance Cyber, le CESIN déplorant « une très forte hausse des tarifs, pour une baisse des couvertures et des niveaux d’exigence, quasiment inatteignables ».
Un livre blanc sur la cybersécurité dans les secteurs de l’industrie, de la finance et du transport
Bien entendu, les débats animés sur la cybersécurité ne se limitent pas au tissu économique franco-français. Groupe mondial leader d’assurance de risques spécialisés, Tokio Marine HCC International (TMHCCI) vient de publier un livre blanc livrant une vision claire des cyber-risques auxquels sont exposés trois secteurs clés – l’industrie, les institutions financières, le transport et la logistique – et envisageant la meilleure façon de se protéger.
Or ce livre blanc dresse des constats qui interpellent :
- L’industrie est l’un des secteurs « les moins avancés en matière de cybersécurité », alors qu’une « forte augmentation de l’utilisation des technologies opérationnelles et de l’Internet des objets » s’est clairement imposée comme un outil essentiel pour les industriels.
- Malgré leur approche plus mature de la cybersécurité, les institutions financières subissent toujours une exposition aux risques Cyber très élevée, du fait de la numérisation des chaînes d’approvisionnement et des écosystèmes. Le livre blanc chiffre ainsi le coût moyen d’une violation de données dans le secteur à 5,7 millions de dollars en 2021. En outre, des innovations telles que le système bancaire ouvert, la blockchain et les cryptomonnaies véhiculent aussi des expositions aux risques supplémentaires.
- Quant au secteur du transport et de la logistique, il se trouve lui aussi fortement vulnérable du fait des « systèmes d’information utilisés pour gérer les flux de véhicules et de marchandises, et pour contrôler le trafic. » Violations de données, blocages d’infrastructures : les risques là encore sont majeurs, le nombre annuel de cyber-incidents signalés dans ce secteur ayant augmenté de 530 % entre 2019 et 2020.
Autant dire que le verdict du groupe TMHCCI est sans appel sur les manières actuelles d’appréhender les cyber-risques : « Les cyber-risques sont encore mal compris et la façon dont ils sont couverts n’est peut-être pas toujours claire pour les courtiers et leurs clients. », affirme Isaac Guasch, Cyber Security Leader chez TMHCCI et chercheur en cybersécurité.
Ce dernier pointe en particulier une approche trop générique des cyber-risques et préconise davantage de « sur mesure » en fonction des spécificités de chaque entreprise et de chaque secteur : « bien que les cyberattaques puissent sembler être une menace plutôt générique, le fait est que chaque secteur a ses propres cyber-risques et que les criminels adaptent leur approche à chaque secteur et même à chaque entreprise. »
Un nécessaire changement de mentalité ?
Soulignant une méconnaissance persistante des risques Cyber et appelant à un changement d’approche, le Livre Blanc de TMHCCI ne constitue certainement pas un appel isolé. Dans une tribune publiée par le média spécialisé Programmez ! Le magazine des Développeurs, le vice-président et Technical Account Manager de Tanium Jérôme Warot exhorte les directeurs des systèmes d’information au sein des entreprises (DSI), à « changer de point de vue sur la question des risques cyber. »
En effet, Jérôme Warot dresse dans sa tribune les éléments de constat suivants :
- les défis que doivent relever les DSI en cybersécurité sont grandissants, avec des attaques de plus en plus sophistiquées, à l’image des ransomwares
- l’impact de la moindre faille de sécurité augmente : « ces dernières années, de nombreuses organisations ont perdu des centaines de millions d’euros à cause de failles simples et facilement évitables ».
- Paradoxalement, « la plupart des entreprises attendent qu’un problème survienne pour considérer cette problématique comme une priorité. Bien que la gestion et la maîtrise des risques revêtent une importance sans précédent, la plupart des DSI n’ont pas les outils nécessaires pour s’en occuper efficacement. »
- Enfin, « de nombreuses organisations s’handicapent en utilisant des solutions monofonctionnelles, qui recueillent des données obsolètes et incomplètes. »
Fort de ces constats, Jérôme Warot appelle à un net changement des mentalités, décliné en trois points :
- Veiller à la conformité des entreprises aux règlementations sur les données : « il s’agit là d’un défi permanent, les organisations doivent être en mesure d’identifier et de gérer rapidement leurs données sensibles et propriétaires à grande échelle. »
- Changer de point de vue: « un DSI doit être en mesure de communiquer efficacement sur la cybersécurité avec le reste de l’entreprise, il lui revient d’adopter un discours plus objectif et concret. » Analyse de risque, benchmarking, le tout dans un langage facile à comprendre : il revient au DSI de faire de la cybersécurité un sujet de conversation courant et à part entière au sein des conseils d’administration.
- Adopter une approche proactive du risque, « en mettant en œuvre des technologies permettant de gérer les risques simplement et concrètement. » En effet, de nombreuses organisations « se focalisent excessivement sur des solutions monofonctionnelles et réactives (à l’image des antivirus), au lieu de scanner constamment leur réseau et identifier les vulnérabilités. » La mise en place de technologies d’analyses de risques permettra aux DSI de « quantifier le niveau de risque avec exactitude, présenter des résultats et montrer avec quel succès l’entreprise s’est protégée. »
Ainsi, « une fois ces évolutions mises en œuvre, les DSI pourront réaliser des évaluations régulières pour surveiller l’évolution des risques au fil du temps, et s’assurer d’adopter une approche préventive et réactive à la fois, basée sur des données », conclut Jérôme Warot sur un ton prophétique : « cette proactivité rendra les organisations plus sécurisées malgré la prolifération constante des menaces. »