Si la cybercriminalité n’a jamais été une menace aussi prégnante, paradoxalement, beaucoup d’entreprises et d’organisations se protègent peu ou pas. Ce sera le thème d’un petit-déjeuner débat le 16 novembre, organisé par la Fedem, la chambre monégasque de l’assurance et la chambre monégasque des nouvelles technologies (1).
Peu de chiffres circulent. Mais les quelques-uns que l’on peut lire sont très explicites. Alors qu’une cyberattaque a paralysé pendant une trentaine de minutes le réseau internet de la Principauté le 25 octobre 2017, une étude publiée par Juniper Research estime que les dégâts causés par le cybercrime devraient passer de 445 milliards de dollars dans le monde en 2014 à 2 000 milliards en 2019. En face, une autre donnée publiée par S&D Magazine, étonne : seulement 5 % des entreprises françaises possédaient une cyber-assurance en 2015. Si 60 à 70 % des groupes du CAC 40 seraient protégés contre le cyber-risque, seulement 2 à 3 % des PME françaises le seraient, pour un total de primes estimé à 30 millions en 2016. À Monaco, aucun chiffre précis n’est disponible. On estime que moins de 5 % des entreprises seraient cyber-assurées, pour un volume de primes placées inférieur à 500 000 euros. Ce qui est sûr, c’est qu’au fil du temps, la nature des attaques a changé. Alors que la majeure partie des attaques était réalisée par des pirates informatiques qui recherchaient le coup d’éclat pour asseoir leur réputation, désormais, c’est l’argent qui est souvent le moteur. Depuis le début des années 2000, les experts notent aussi un développement plus visible de la part du crime organisé sur ce secteur. Le plus souvent, il s’agit de dérober les informations personnelles de clients détenues par des entreprises, pour en faire ensuite usage sur le marché noir. Et générer un maximum d’argent.
NotPetya
Si en France, l’agence nationale de la sécurité des systèmes d’information (Anssi) continue de marteler que « tout le monde est une cible potentielle », à Monaco, l’agence monégasque de sécurité numérique (AMSN), ne dit pas autre chose. Ces messages redondants sont aussi régulièrement illustrés par l’actualité. En juin 2017, chez les professionnels, personne n’a oublié les attaques Wannacry et NotPetya, qui ont touché des organisations et des entreprises du monde entier. Les pertes ont été estimées à plusieurs milliards, ce qui a eu pour effet collatéral de sensibiliser un peu plus les dirigeants des grands groupes à cette problématique. En revanche, il reste encore beaucoup à faire chez les très petites entreprises (TPE) et les petites et moyennes entreprises (PME). Souvent, elles sont insuffisamment protégées d’un point de vue technique et sans contrat d’assurance spécifique. Partant de ce constat, la fédération des entreprises monégasques (Fedem), la chambre monégasque de l’assurance et la chambre monégasque des nouvelles technologies, ont décidé de proposer un débat sur ce thème, le 16 novembre.
« Infecté »
« Les assureurs viennent garantir les data, c’est-à-dire la base de données d’une entreprise. Or, on s’est rendu compte que la plupart des TPE et des PME ne savent pas quantifier ce que pèsent leurs bases de données dans leurs actifs et dans leurs bilans, explique Olivier Labédan, membre de la chambre monégasque de l’assurance et expert au sein du cabinet Gramaglia. Du coup, pour eux, ces data n’ont pas une grande valeur. Pourquoi assurer quelque-chose que l’on n’estime pas ? » De plus, une entreprise victime de hackers prend aussi le risque d’être attaquée en justice par ses propres clients. « Le principe général est toujours le même, et il n’est pas propre à la Principauté : on pense que ça n’arrive qu’aux autres. Or, à Monaco, il y a des attaques chaque semaine. Les attaques sont permanentes », souligne Eric Perodeau, président de la chambre monégasque des nouvelles technologies et gérant de Media Computers. Pour appuyer son propos, il cite une statistique : « Aujourd’hui, si on connecte un ordinateur PC sur internet sans aucune protection, il sera infecté en 12 ou 15 minutes. » Un constat global qui a donc poussé la chambre monégasque de l’assurance à travailler de concert avec la chambre monégasque des nouvelles technologies. « Les assureurs sont dans la même démarche que nous : une logique à la fois préventive et curative, si nécessaire. Il était donc cohérent de proposer cette conférence ensemble, ajoute Eric Perodeau. On s’adresse à tout le monde, à tout le tissu économique monégasque. » D’ailleurs, l’AMSN devrait intervenir le 16 novembre, dans le cadre de cette conférence.
« Grave »
Pour parvenir à financer la défense des entreprises, les assureurs ont mis en place des budgets et des experts. Une cellule de crise, joignable téléphoniquement et disponible 24 heures sur 24, peut aussi être proposée. « Ne pas être assuré contre les cyberattaques, c’est comme ne pas être assuré contre l’incendie. C’est même plus grave, car la fréquence des attaques informatiques est beaucoup plus importante que celle des incendies », estime Olivier Labédan. Gérer son entreprise sans assurance spécifique en 2017, serait même devenu extrêmement périlleux, juge cet expert : « Ne pas être assuré pourrait même être considéré comme une faute de gestion. Pour cette raison, on pourrait d’ailleurs imaginer que des actionnaires se retournent contre un dirigeant d’entreprise. »
« Bloqué »
Pour démocratiser ce type de protection, certains assureurs proposent aujourd’hui, en France, un système de forfaits pour quelques centaines d’euros. À Monaco, au niveau des tarifs, pour une TPE, il faut compter entre 1 000 et 1 500 euros par an. Pas si cher juge cet expert du cabinet Gramaglia, si on prend en considération les risques encourus : « Il faut bien que les chefs d’entreprises et d’organisations comprennent que lorsqu’on est victime d’une cyberattaque, le système informatique est souvent complètement bloqué. Cela peut durer quelques minutes, des heures ou des jours, selon les cas, indique Olivier Labédan. Pendant ce délai, l’entreprise ne peut plus répondre à ses clients ou à ses partenaires. Cela crée un immobilisme qui débouche sur une perte d’exploitation. L’assureur va prendre en charge cette perte. » Le marché de la cyber-assurance est estimé entre 3 et 3,5 milliards de dollars dans le monde et pourrait atteindre 7,5 milliards d’ici 2020, selon S&D Magazine.
Réflexes
Mais l’impact ne s’arrête pas là. Les clients d’une entreprise qui a été attaquée se posent immanquablement tout un tas de questions. C’est donc l’image de l’entreprise qui en pâtit. Pour faire face, les assureurs proposent l’intervention d’experts en communication. Objectif : garder la maîtrise sur la communication autour de la cyberattaque dont on a été victime. « En mai 2018, un règlement européen va imposer aux entreprises et aux organisations touchées par une attaque de communiquer. Du coup, très logiquement, le monde de l’assurance accompagne cette communication, pour minimiser autant que possible les dégâts en termes d’images », ajoute Olivier Labédan. Mais il faudra parvenir à changer certains réflexes. Car beaucoup d’entreprises sont réticentes à l’idée d’avouer une attaque et préfèrent ne pas l’évoquer. Difficile d’étaler publiquement que l’on a été faillible. « Ce marché a donc eu du mal à se développer, reprend ce membre de la chambre monégasque de l’assurance et expert au sein du cabinet Gramaglia. Mais maintenant, on sent que la prise de conscience s’accélère. Et que le législateur aide tout le monde à se poser les bonnes questions. » Le règlement général de la protection des données (RGPD ou GDPR en anglais) entrera en vigueur le 25 mai 2018 au sein de l’espace européen. Entre autres obligations, il rend nécessaire la mise en place d’un “data protection officer” (DPO) chez les administrations et les entreprises qui détiennent des données personnelles. Tout cela, et les protections techniques qui vont avec, auront donc un coût, qui est presque devenu une dépense obligatoire, semble dire Eric Perodeau : « Dans l’industrie de ces 40 dernières années, c’est une erreur fondamentale de ne pas y avoir pensé avant. »
