Vers une meilleure prise en compte du risque cyber

Le nombre d’attaques numériques a augmenté de 100 % au cours des deux dernières années, c’est le résultat d’une étude par le spécialiste de la sécurité ThreatMetrix qui estime le nombre de ces attaques à 700 millions pour 2017. La question du cyber-risque a donc pris une ampleur inégalée pour les entreprises et posent de vraies questions en matière de prévention et gestion de ce risque. En parallèle, on retrouve désormais une vaste typologie en matière de cybercriminalité : espionnage industriel, vol de données, prise de contrôle des systèmes à distance… Et même cyber-racket à l’image du logiciel malveillant WannaCry qui avait immobilisé des centaines de milliers d’ordinateurs à travers le monde et réclamait des rançons payables en bitcoins pour déverrouiller les données. Pour le Club des juristes, qui publie un rapport sur le sujet, dirigé par Bernard Spitz (président de la Fédération française de l’assurance), il s’agit « d’un enjeu de gouvernance » qui ne peut plus être relégué aux seules directions informatiques. Le premier tome de ce rapport, intitulé : « Assurer le risque cyber », met notamment en cause la faiblesse de la couverture des entreprises françaises face à un risque toujours plus présent. Il souligne également que seule l’assurance pourra protéger l’entreprise contre les pertes qu’une attaque cyber ou qu’une erreur non intentionnelle de manipulation peuvent générer. Des pertes qui peuvent parfois aller jusqu’à mettre en danger la survie de l’entreprise.

Du côté du législateur, la situation évolue aussi avec l’introduction de nouvelles obligations en matière de sécurité et de protection des données personnelles. Des premières dispositions étaient déjà incluses dans la loi informatique et liberté de 1978 et celle de programmation militaire pour la période 2014-2019. Mais en mai 2018, deux nouveaux textes issus du règlement européen viendront compléter cet arsenal : le régime de responsabilité sur la protection des données personnelles (RGDP) et la directive sur la sécurité des réseaux et des systèmes d’information (NIS – Network and Information Security), qui entreront en vigueur. Les autorités régulatrices auront alors la capacité d’infliger des sanctions conséquentes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial) en cas de non-notification par les responsables de traitement des violations de données personnelles. Le rapport du Club des juristes estime d’ailleurs que ce contexte législatif devrait vraisemblablement aussi accélérer le transfert du risque à l’assurance. Le marché de l’assurance cyber reste en effet naissant en Europe avec seulement 10 % du marché mondial. Mais pour que ce chiffre progresse, une amélioration de l’offre des assureurs sera nécessaire avec un rôle élargi de leur part dans l’accompagnement des entreprises.

Dans son rapport, la commission cyber-risque du Club des juristes rédige une dizaine de préconisations pour un transfert rationnel et éclairé du risque cyber vers l’assurance. Elles concernent autant les assureurs, gestionnaires de risques et réassureurs pour expliquer le contenu des couvertures, renforcer le dialogue avec les assurés et créer un cadre homogène de sécurité numérique  ; que les instances européennes et les pouvoirs publics pour établir les conditions d’une concurrence équitable entre assureurs cyber et orienter l’investissement vers l’émergence d’une filière d’excellence en cyber-technologie. Nicolas Arpagian, responsable de la stratégie d’Orange Cyber Défense et membre de la commission cyber-risques du Club des juristes revient pour les Petites Affiches sur les enjeux que représente le cyber-risque.

Les Petites Affiches

Quel était l’objet de ce rapport  ?

Nicolas Arpagian

Dans la genèse de ce rapport, nous sommes partis d’un double constat. Le premier point est que nous sommes dans une intensification toujours croissante de la numérisation. Que cela soit en termes d’activités économiques, administratives ou personnelles, c’est un fait : les processus et modes opératoires physiques se dématérialisent. Dans ce contexte, il paraît nécessaire et urgent de faire évoluer la notion de risque, car la dématérialisation crée de nouvelles sortes de délits qui ne rentrent plus dans les définitions classiques. Le vol est par exemple décrit dans le Code pénal comme « la soustraction frauduleuse de la chose d’autrui », mais aujourd’hui on peut vous voler des informations capitales sans même que vous ne vous en rendiez compte ou les modifier dans l’intention de vous nuire. D’autant que les outils permettant le piratage n’ont jamais été aussi faciles d’accès, que cela soit d’un point de vue technique ou financier… Tout cela multiplie donc les facteurs de risques et nous oblige à identifier ces nouvelles menaces pour comprendre comment s’en prémunir. Et si l’on ne peut pas les empêcher (pour des raisons humaines, techniques ou matérielles), il faut alors mettre en place une réflexion sur la manière de se protéger au mieux de ces attaques ou de les réparer. C’est ce qui a été fait historiquement avec les risques classiques, c’est-à-dire les atteintes aux personnes ou aux biens, et c’est là que la culture de l’assurance intervient. Une fois que le risque est défini et que la valeur des biens à l’origine et les mesures de sécurité à mettre en place sont déterminées, on peut mettre en place une logique assurantielle.

LPA

Comment définir le risque cyber et de quelle manière peut-il apparaître  ?

N. A. 

Le principe du numérique consiste à transformer une information en une donnée. La nature de ces informations est par essence très diverse, cela peut être une somme d’argent, un renseignement commercial, un état civil, etc. Une fois transformée en donnée il faut alors : pouvoir assurer son intégrité pour que son contenu ne puisse être modifié  ; vérifier que celui qui l’émet est bien celui qu’il prétend être (qu’il n’y ait donc pas d’usurpation d’identité)  ; s’assurer que le destinataire est celui qui a été désigné  ; et enfin, si elle est stockée, que la donnée reste disponible à tout moment. On retrouve également des risques de processus : c’est-à-dire lorsque des données sont combinées les unes avec les autres par enchaînement. Pour prendre l’exemple d’un poste de pilotage de système ferroviaire, si vous donnez l’ordre pour que le feu rouge s’allume au croisement de deux voies ferrées, il faut qu’au poste de commandement ce que vous voyez soit bien la réalité. Si vous voyez sur votre écran que la barrière est descendue, et que ce n’est pas le cas sur le terrain, cela peut avoir des conséquences dramatiques. Pour résumer le risque cyber est donc constitué par toutes les atteintes possibles à l’intégrité de vos données, ainsi qu’à leurs caractéristiques et à leurs usages.

LPA

Quels types d’entreprises peut être ciblé par ces cyber-attaques  ?

N. A. 

Toutes les entreprises sont amenées à être confrontées à ce type de risques. Mais on peut déjà distinguer différents types d’attaques qui ne vous toucheront pas de la même manière selon votre profil. On a d’abord les attaques personnelles : elles sont délibérées et provoquées par une personne qui sait très bien à qui elle va essayer de nuire. Elles peuvent atteindre n’importe quelle entreprise ou particulier, car on a aujourd’hui des outils permettant par exemple de saturer le site internet de votre employeur pour quelques dizaines d’euros ou bitcoins. Il arrive même de retrouver ce type d’attaque dans le cas de conflits familiaux ou entre particuliers.

Un autre type d’attaque est l’exploitation d’une faille de sécurité à grande échelle. Après les attentats de Paris, on en a eu un exemple lorsque près d’un millier de sites de collectivités locales ont vu leurs pages d’accueil remplacé par des appels au djihad. Vu de l’extérieur cela peut paraître impressionnant, mais en réalité toutes ces collectivités utilisaient le même logiciel de publication et les victimes de ce piratage n’avaient pas mis à jour leurs sites internet avec les correctifs de sécurité adéquats. Dans ce cas précis, la recherche de faille a été automatisée, et le pirate a attaqué indifféremment tous ces sites qu’ils appartiennent au Mémorial de Caen, à tel office de tourisme ou à une commune en Bretagne. Ici, c’est votre équipement qui vous transforme en cible même si l’initiateur de l’attaque ne vous connaît pas.

Enfin, on a le cas des opérations d’ingénierie sociale qui peut causer des dégâts à cause de l’interconnexion toujours plus importante des entreprises. Le logiciel malveillant WannaCry qui a frappé des dizaines de milliers d’entreprises en juin 2017 en est le parfait exemple. Même s’il ne visait pas la France à l’origine, de grandes entreprises françaises ont connu des dégâts informatiques importants car elles avaient des filiales en Slovénie ou en Ukraine. Parfois ce type d’attaque utilise les chaînes de sous-traitants : ceux qui souhaitent attaquer une grande organisation qui est trop bien protégée vont faire une opération d’ingénierie sociale pour cartographier les partenaires et prestataires qui deviennent des cibles potentielles. C’est ce qui est arrivé dans un grand casino américain piraté par le biais d’une société en charge de la maintenance des aquariums.

LPA

Est-il déjà devenu le principal risque pour les entreprises dans le monde  ?

N. A. 

S’il ne l’est pas déjà il fait en tout cas partie du palmarès des risques potentiels pour les entreprises. D’autant qu’il s’agit d’un risque qui est global, des virus comme WannaCry ont des capacités de propagations dévastatrices et atteignent des dizaines de pays et des centaines de milliers d’entreprises en quelques jours. La nature même des réseaux numériques veut que nous soyons dépendants de l’interconnexion, ce qui crée logiquement des vulnérabilités. Dans cet univers nous devons donc être transverses : juristes, techniciens et institutions publiques doivent collaborer ensemble pour être le plus efficace et limiter aux mieux ces risques.

LPA

Vous alertez dans ce rapport sur le manque de couverture des entreprises face à ce risque. Quelle en est la cause  ?

N. A. 

Il est vrai que pour beaucoup d’entreprises, cela reste un risque très théorique tant qu’elles n’ont pas été confrontées et éprouvées par une cyber-attaque. Nous n’avons pas encore développé cette culture de ce risque numérique, même les grands groupes sont encore dans une phase d’apprentissage sur ces sujets. L’une des raisons principales est que tous ces domaines étaient auparavant très cloisonnés et les départements informatiques n’étaient pas toujours intégrés à la stratégie globale. Il y a désormais des axes stratégiques ou une discussion transversale est nécessaire. Une motivation supplémentaire pour les entreprises est le fait qu’agences de notation financière et instances de réglementation instaurent désormais des exigences en matière de cyber-sécurité. C’est le cas pour la BCE qui a mis en place une réglementation en juillet dernier pour les 130 banques européennes qu’elles supervisent afin de parer à un risque systémique en cas d’attaques. De la même manière, on voit l’apparition de plates-formes entre entreprises pour s’informer sur d’éventuels nouveaux risques ou failles dans des logiciels largement utilisés, et ceux même si les entreprises sont concurrentes.

LPA

Que peuvent faire les entreprises pour se prémunir du cyber-risque  ?

N. A. 

Nous promouvons avant tout le développement d’une culture du risque numérique et la prise de conscience que tout le monde peut potentiellement être touché. Il est important de mettre en place des réflexions pour savoir quels sont les actifs qui vous sont essentiels. Car que ce soit sur le plan financier, technique ou opérationnel il sera très difficile de protéger l’intégralité de vos données contre tout risque extérieur. Et tout verrouiller peut aussi avoir un impact négatif sur votre entreprise puisque la création de valeurs dans l’économie de la connaissance est basée sur la mise en commun, la production et le croisement de données. En cernant les actifs les plus importants, on peut établir un niveau de sécurité proportionné à la valeur des données et créer une vraie stratégie de gestion du risque numérique pour l’entreprise. Cet exercice d’introspection est aussi une manière de s’interroger sur son cœur de métier pour identifier sa valeur ajoutée face à la concurrence.