Les cyber-risques sont plus qu'un problème informatique
Les entreprises qui considèrent les cyberrisques comme une question purement informatique agissent de manière imprudente. En effet, les conséquences possibles des incidents sont souvent très lourdes et ne sont pas couvertes, ou seulement de manière inadéquate, par les polices d'assurance classiques.
Le baromètre des risques 2017 d'Allianz classe les cyberrisques parmi les dix plus grands risques pour les entreprises pour la quatrième année consécutive. Les entreprises de toutes tailles sont confrontées à une complexité et une rapidité de changement croissantes. Contrairement aux risques traditionnels tels que les catastrophes naturelles ou les incendies, les cyberrisques ne causent généralement pas de dommages physiques. Toutefois, des données perdues ou mal transmises et des systèmes en panne peuvent paralyser les services ou la production et ébranler la confiance des investisseurs, des clients et des autres parties prenantes.
Identifier les lacunes en matière d'assurance
Les nouvelles menaces peuvent souvent entraîner des lacunes dans la couverture en termes de gestion des risques et d'assurance. Les cyberattaques présentent divers risques liés à la confidentialité, à la disponibilité ou à l'intégrité des données et des systèmes. Contrairement à la croyance populaire, les cyberincidents ne sont généralement pas entièrement couverts par les polices d'assurance classiques telles que la perte de revenus, la responsabilité ou la perte de confiance. Jusqu'à présent, les solutions de cyber-risque ont été proposées principalement par des assureurs internationaux tels que AIG, Allianz, Chubb ou Zurich. Il convient de noter que la menace des cyberrisques va bien au-delà du piratage, des violations de données ou du vol de données. Une défaillance technique de l'infra-structure ou une erreur humaine peuvent également entraîner de graves dommages. Selon une étude de l'Institut d'économie des assurances de l'Université de Saint-Gall, les politiques actuelles des assureurs couvrent les causes suivantes : Attaque de pirates, chantage, erreur humaine et, dans certains cas, erreur technique. Les couvertures comprennent généralement les coûts directement imputables, tels que la criminalistique (clarification, identification, sécurisation des preuves), la restauration du site web ou des données des clients, ainsi que les coûts de l'interruption des activités ou des litiges juridiques. Parmi les exemples spécifiques, citons les paiements de rançons pour les chevaux de Troie de cryptage, les frais de consultation pour la gestion de la crise, les coûts pour informer les clients et les dépenses pour reconstruire les données perdues ou endommagées. Les montants couverts varient entre 5 et 50 millions de francs suisses.
La perte de réputation n'est pas assurable
Cependant, de nombreuses entreprises sont encore plus préoccupées par les coûts consécutifs : l'atteinte à l'image de l'entreprise laisse souvent derrière elle une perte économique aussi importante que l'interruption des activités ou la perte de données. Mais pratiquement aucun assureur ne couvre le préjudice de réputation ou la perte de valeur marchande résultant d'une atteinte à l'image. En général, seuls les honoraires des consultants en relations publiques sont couverts. La principale raison en est que les assureurs ne couvrent pas les dommages causés par
"Dans le langage des assureurs, les "pertes par accumulation" menacent."
Il n'est pas possible de chiffrer la perte de réputation. "Il y a trop d'autres facteurs incertains en jeu ici", explique le Dr Carin Gantenbein, responsable de la responsabilité professionnelle et du cyber chez Zurich Insurance. L'estimabilité a toujours été un critère essentiel pour l'assurabilité. Si l'on ne dispose que de quelques valeurs empiriques sur le type, la fréquence et l'étendue des dommages, l'incertitude du diagnostic et du pronostic est élevée. Les valeurs d'expérience concernant les cyberrisques sont difficilement accessibles, car de nombreuses victimes sont réticentes à fournir des informations sur les incidents correspondants. En outre, les cyberrisques sont soumis à un risque élevé de changement, par exemple en ce qui concerne les directives relatives à la protection des données. L'hyperconnectivité est également essentielle du point de vue de la modélisation des cyberdommages. En raison de la mise en réseau mondiale, plusieurs entreprises sont généralement touchées par un cyberincident. S'il est découvert trop tard, les dommages potentiels augmentent de manière exponentielle. Dans le jargon des assureurs, les "pertes par accumulation" sont imminentes, ce qui nécessite une surprime. Plus l'estimation est incertaine, plus les primes et les franchises sont élevées et plus les sommes assurées sont faibles. La prévention et la précaution sont donc d'autant plus importantes.
sensibiliser au problème
Quiconque considère que les cyberrisques ne concernent que l'informatique commet une erreur fondamentale. Cette responsabilité ne peut être déléguée à des experts. Tous les membres de l'entreprise doivent être conscients des risques. Une analyse détaillée des risques constitue la base de l'identification et de la compréhension des dangers les plus importants. De nombreuses entreprises ont recours à l'analyse de scénarios pour identifier les données et les systèmes concernés, les causes possibles et les groupes d'auteurs potentiels, et pour simuler les effets possibles. La mesure de protection la plus fondamentale est l'"hygiène informatique" professionnelle, qui protège les données et les systèmes et détecte rapidement les erreurs et les attaques. L'Office fédéral des Si-
"Si le pire devait arriver malgré les précautions, les plans de crise et d'urgence devraient entrer en action."
L'Office fédéral allemand pour la sécurité de l'information (BSI) publie des normes minimales reconnues ("normes BSI") qui peuvent servir d'orientation.
Les courriels bien falsifiés sont difficiles à détecter. C'est ce que montrent, par exemple, les e-mails envoyés au nom de Ricardo ou d'UBS. C'est ce que montrent, par exemple, les courriels envoyés au nom de Ricardo ou d'UBS, avec lesquels des fraudeurs ont tenté d'obtenir les coordonnées bancaires de clients. Les attaques ciblées sur les entreprises tentent souvent d'accéder par l'intermédiaire des employés. Par conséquent, la sensibilisation des employés aux risques est essentielle et doit être encouragée par le biais de la formation. Si, malgré les précautions, le pire devait arriver, il convient de mettre en place un plan de crise et d'urgence qui inclut les employés, les clients et les fournisseurs et limite ainsi les dégâts. Il est important qu'un processus de gestion des risques ne reste pas un projet ponctuel, mais soit ancré dans l'entreprise. Cela nécessite des tests réguliers, des ateliers, une communication ainsi qu'un suivi et une mise à jour au-delà des frontières et des hiérarchies des départements. Pour renforcer la résilience aux cyberincidents, il faut comprendre que les cyberrisques touchent l'ensemble de l'entreprise et sont le problème de tous.
