Aujourd’hui, le risque cyber est devenu un sujet incontournable de la gestion des risques dans une entreprise. Personne n’est à l’abri et récemment, de grandes entreprises ont été touchées par des cyberattaques, paralysant leurs outils informatiques, menaçant l’activité et altérant leur image.
Les cyberattaques en tête des risques d’entreprise
Une cyberattaque est un acte de piratage visant un
dispositif informatique. Elle peut cibler différents supports : ordinateurs ou
serveurs, smartphones, tablettes ou autres objets connectés. Les hackers parviennent
généralement à leurs fins en exploitant des failles au sein des programmes
informatiques, qui leur permettent de réaliser des actions n’ayant pas été
prévues par les développeurs du logiciel. Les attaques sont multiples : hameçonnage,
harponnage, téléchargement furtif, cassage de mot de passe, injection SQL, cross-site
scripting, écoute clandestine, attaque des anniversaires et logiciel
malveillant.
Même les plus grands acteurs sont touchés. Dernièrement en
France, plusieurs attaques ont sévèrement affecté le fonctionnement d'hôpitaux
à Dax et Villefranche-sur-Saône. Des collectivités locales ont aussi été
touchées depuis l'an dernier (Angers, La Rochelle, Marseille...). Et longue est
la liste des entreprises ciblées (Altran, Fleury-Michon, Bénéteau, Ouest-France,
MMA, Sopra Steria, Microsoft…), des opérateurs publics (l'Autorité bancaire
européenne) avec un impact dépassant parfois plusieurs semaines.
En 2020, l'Anssi (gardien de la sécurité informatique française) a relevé une augmentation de 255 % des attaques au rançongiciel dans son périmètre d'intervention, la sphère publique, les grandes entreprises et celles qui sont essentielles pour la sécurité nationale.
(Source Kaspersky)
Des conséquences catastrophiques
Les conséquences des cyberattaques sont variées : pertes
financières, réputation écornée, destruction du système d'information…
Le coût financier parfois considérable
Une cyberattaque provoque fréquemment un arrêt de l’activité
de l’entreprise, et par conséquent un sérieux manque à gagner. Il s’agit de la
perte d’exploitation. Par exemple, dans l’hypothèse de perte de données comme
un fichier client indispensable à l’entreprise, l’activité est alors arrêtée et
l’on peut constater une baisse considérable du chiffre d’affaires. En 2017, l’entreprise
Saint-Gobain a supporté plus de 250 millions d’euros de dommages sur son
chiffre d’affaires quand elle fut attaquée avec le ransomware.
Une entreprise à l’arrêt
L’entreprise subit une désorganisation liée à la remise en route du système infecté, à la reconstitution des données perdues, à la mobilisation d’une équipe après une attaque et il faut du temps. Prévoir un plan de restauration est alors nécessaire.
Une image de marque écornée
C’est un dommage moral difficile à évaluer avec le renvoi d’une mauvaise image de marque et une baisse de confiance de la part de ses clients à la suite de la fuite de données. Lorsque les données personnelles de clients sont subtilisées, vendues ou révélées publiquement, ces derniers peuvent se montrer réservés à la poursuite d’une collaboration et se détourner de l’entreprise.
La nécessité de se protéger
Les entreprises sont-elles suffisamment couvertes ?
L’étude "The Global State of Information Security
Survey 2016" réalisée par le cabinet Denjean & Associés fait le point
sur les risques encourus par les entreprises. En France, à l'exception des
grands groupes, toutes les entreprises sous-estiment les risques de cyberattaques
et l'ampleur de la cyberfraude.
Il semble que seuls les décideurs de grandes entreprises sont
conscients de la réalité de ce risque. A l'autre bout du spectre, les
dirigeants de TPE et de PME sous-estiment fortement les risques liés à la
cyber-sécurité.
Un plan de prévention à mettre en place pour prendre conscience du risque
Le meilleur comportement pour se protéger est d’anticiper
ces attaques et de mettre en place des politiques de prévention pour au moins
diminuer leur impact. Idéalement, la réalisation d’un audit du système de
sécurité, du site web ou des points d’accès à Internet est nécessaire pour
déceler les éventuelles failles. Cela peut se faire par un ordinateur qu’on a
oublié de déconnecter, un téléchargement sur un site illégal, un virus apporté
par une clé USB non protégée, etc. Il est indispensable de sensibiliser le
personnel de l’entreprise au sujet, de leur donner des consignes claires en cas
d’envoi de spams…
Les solutions assurancielles ? Quel contrat d’assurance souscrire ?
Coupler la dimension informatique au recours à une assurance
spécifique permet d'avoir une approche globale de protection de son
infrastructure et de ses données informatiques.
En d’autres termes, la responsabilité de l'entreprise est un
facteur clé à protéger. 2 mots clés : protéger et pérenniser l'activité de
l'entreprise avec une couverture en cas de fuite des données, de rupture
d'exploitation, de contamination du système informatique.
En France, plusieurs assureurs proposent des contrats de «
cyberprotection » dédiés à ce type de risques. Ces polices d'assurance ont pour
objectif de réduire l'impact financier des sinistres. Au-delà du remboursement
du préjudice subi, ces contrats proposent aux entreprises des services
d'assistance technique, juridique et de gestion de l'image.
Egalement, il est possible d'intégrer des garanties spécifiques dans certains contrats d’assurance classiques. Par exemple :
· L’assurance dommages aux biens peut prévoir l'indemnisation de la perte d’exploitation directement ;
· L’assurance responsabilité civile générale peut inclure la prise en charge des coûts résultant des réclamations qui font suite à une cyberattaque ;
· L’assurance sur les risques de fraude peut prendre en compte la fraude informatique.
Certaines assurances proposent également la prise en charge d'un audit informatique.
Conclusion : soyez vigilant et assurez-vous ! ?