Cyber risque : Nouvelles normes, nouveaux risques

Quelle entreprise n’utilise pas d’informatique aujourd’hui ? Une immense part des données générées par les salariés sont produites au cœur des serveurs, mais combien d’organisations se protègent contre le cyber risque ?

Dans une époque pas si lointaine où les classeurs et le papier carbone dominaient, personne n’aurait eu l’idée de ne pas s’armer contre la dégradation de ces données « old school ».

Pourtant, que ce soit dans des classeurs ou sur un disque dur, vos données ont la même valeur. Attaquables par des milliards d’individus connectés comme vous, les risques ne sont finalement que plus nombreux.

Alors faut-il bloquer le réseau internet dans l’entreprise ? Une stratégie en vase clos qui pourrait fonctionner s’il n’y avait pas le marché mondial qu’offre le cyber, avec tout son lot de facilités (mail, échange de données, service client, site internet). Il faut donc se rendre à l’évidence et envisager qu’un changement de la nature du risque impose d’anticiper des attaques. Une anticipation finalement très proche de ce que l’entreprise faisait auparavant pour l’ensemble de ces risques !

200 jours, c’est le temps moyen nécessaire à une entreprise pour comprendre qu’elle a été attaquée ! Source : Harvard Business Review

Les pirates sont chez les autres !

Depuis début mai 2019, la mairie de Baltimore fait face à une attaque sans précédent. Sur la porte d’entrée de la marie il est indiqué « le système informatique est en panne ». Un problème électrique ? Non, une attaque malveillante paralyse l’ensemble de la mairie. Des pirates se sont tout simplement permis de crypter les données de l’ensemble des ordinateurs de la ville. Ils réclament maintenant une rançon pour « libérer » les ordinateurs !

Au-delà de ce cas, qui interroge sur notre capacité à gérer le cyber risque, il faut rappeler qu’il ne s’agit que de la face émergée de l’iceberg.

Les attaques se multiplient, 67 % des entreprises interrogées pour le rapport cyber de l’assureur HISCOX en 2019 déclarent avoir subi une attaque au cours des 12 derniers mois, contre 45 % en 2018.

Dans le même temps, le cout moyen d’une attaque explose passant de 43 000 € à plus de 97 000 €.

Les prises en charge des assureurs s’étoffent par ailleurs

La collecte d’information est essentielle pour bien comprendre les menaces auxquelles les entreprises doivent faire face. Pour une entreprise de grande taille très exposée, une analyse détaillée s’impose.

• forme des données stockées
• plan de continuité
• clauses de responsabilité des fournisseurs…

L’ensemble du risque est analysé afin de permettre d’anticiper au mieux les besoins.

Les couvertures fonctionnent sur la base d’un contrat multirisque professionnel, la police cyber s’adapte à ces nouveaux risques et offre par exemple des couvertures pour :

• Les frais de défense et les conséquences pécuniaires lors d’une atteinte aux données confidentielles
• Les frais de reconstitution des données et salles informatiques
• Une assistance spécifique en cas d’attaque pour gérer la crise

Heureusement, les entreprises s’équipent peu à peu de moyens de défense. Aujourd’hui, 84 % des entreprises s’étoffent d’un service dédié aux cyber risques. Enfin, 41 % des entreprises interrogées déclarent avoir souscrit une assurance cyber risques, contre 33 % en 2018.

Face à ce risque exponentiel, l’absence de couverture met en risque l’entreprise comme jamais auparavant. L’histoire du cyber crime ne fait que commencer.