Aller à la navigation Aller au contenu

Lutter contre les cyberattaques

Depuis que les ordinateurs sont devenus un maillon essentiel de l’infrastructure des entreprises, FM Global couvre les dommages causés par les virus informatiques. L’assureur mutualiste étudie ces risques pour mieux protéger les entreprises de la menace qui leur fait le plus peur aujourd’hui.

cyber risques protection fm global

On ne compte plus dans les médias les rapports de cybercriminels ayant piraté des multinationales réputées et dérobé les informations financières de millions de clients. Ces vols peuvent exposer les clients d’une entreprise à un risque de fraude et ternir une réputation durement forgée. Dans un monde toujours plus digitalisé, les cyberattaques sont en mesure de neutraliser des chaînes de montage entières, d’empêcher les clients de passer commande et d’endommager les données ou même les équipements dont les entreprises ont besoin pour opérer.

FM Global a compris depuis longtemps les dangers de la cybercriminalité : le groupe couvre depuis plus de dix ans les dommages causés par ces attaques. Cette année, l’assureur spécialiste des risques industriels va un cran plus loin pour tenir compte de cette dépendance croissante et d’un Internet des objets en mutation constante. Il a ainsi mis en place un groupe de travail sur les risques cyber chargé de mieux cerner l’exposition aux cyberattaques ainsi que les étapes nécessaires pour assurer la protection des activités des clients.
« Nous voulons tirer profit de cette relation unique que nous entretenons avec nos clients afin de les aider à protéger leurs activités contre les cyberattaques », explique Grace Ries, qui dirige l’entité souscription de ce nouveau groupe de travail. « Le domaine continue d’évoluer, mais ce que nous essayons de faire, sur le plan des services d’ingénierie, c’est aider nos clients à reconnaître les cyberexpositions qui existent à l’heure actuelle. »

La data, un bien à protéger

Pour FM Global, les cybermenaces n’ont rien de nouveau. En 2003, la couverture des données a été ajoutée, faisant ainsi du groupe l’une des premières entreprises à traiter la data comme un bien. À mesure que les sites internet se sont multipliés, FM Global a intégré les attaques par déni de service1 dans ses polices et a récemment ajouté la couverture cloud, qui protège les données stockées dans les environnements virtuels. « En 2003, nous avons mis en place la couverture des données dans notre terminologie et nous avons commencé à traiter la data comme un bien – un principe unique à l’époque », rappelle Paul Pendolino. « Quand l’exposition aux risques s’est développée, nous avons renforcé nos politiques pour répondre aux besoins de nos clients. Cela fait désormais partie de notre couverture principale, par conséquent nous couvrons les dommages causés par une cyberattaque au même titre que ceux causés par l’incendie ou les intempéries. »

La couverture contre les cybermenaces est une question qui gagne en importance. Pour Paul Pendolino, il s’agit même de l’une des premières préoccupations des clients, qui sont souvent perdus dès lors qu’il s’agit de d’assurer contre la cybercriminalité. Cette confusion provient en partie de l’évolution rapide de la technologie, mais aussi du fait que la cybercriminalité se trouve à la limite entre l’assurance bien et l’assurance responsabilité civile.

Le secteur s’interroge justement à l’heure actuelle : cette couverture doit-elle être offerte en cas de cyberattaque ? De nombreuses sociétés d’assurance ne couvrent pas les dommages occasionnés par une cyberattaque, et d’autres développent des polices spécialisées qui couvrent tous les aspects d’une cyberattaque, englobant les dommages aux biens et la responsabilité civile.
FM Global traite la data d’une entreprise de la même manière qu’un équipement de production ou qu’un entrepôt de stockage. Si la data est corrompue, modifiée ou détruite, avec pour effet une interruption d’activité ou un dommage sur d’autres biens assurés, ce sinistre est considéré comme n’importe quel autre dommage.

FM Global reste toutefois une société d’assurance, et Grace Ries explique que cette couverture s’applique uniquement aux dommages physiques, aux interruptions d’activité et au déni de service. La couverture ne protège pas contre les dommages liés à l’exposition, au vol ou à la copie de données. Les données financières dérobées, à l’instar de celles mentionnées dans les titres des journaux, relèvent de la responsabilité civile de l’entreprise, de même que l’atteinte à la réputation, les amendes et les pénalités ou les coûts relatifs à la notification des clients suite à une violation de la sécurité.

Risques pour les biens

Si l’extraction d’informations financières ou le vol d’argent reste la première motivation des cybercriminels, de nombreuses autres raisons peuvent également motiver les pirates Depuis des années, les programmateurs se battent contre des virus informatiques conçus spécifiquement pour infliger des dommages. Les entreprises peuvent être prises pour cible par des groupes ou organisations qui s’opposent à leurs pratiques commerciales. Les troubles politiques peuvent également entraîner des cyberattaques contre les entreprises considérées comme des alliées des gouvernements et même générer des attaques soutenues par les gouvernements. Des cyberattaques ont ainsi été lancées par des concurrents, des employés mécontents ou des clients ayant des griefs contre une entreprise.

En 2015 les hackers ont ainsi réussi à neutraliser un réseau électrique en Ukraine. L’année dernière, les sites Web corporate de Nissan ont été piratés pour protester contre les pratiques de chasse à la baleine au Japon. Et en 2014, le bureau fédéral allemand de sécurité des informations a indiqué qu’une aciérie avait souffert des dommages significatifs quand les hackers ont interrompu les systèmes de contrôle et qu’un fourneau n’a pu s’éteindre correctement. Si le périmètre de l’attaque et les dommages générés étaient limités, il s’agit néanmoins de l’un des premiers incidents signalés de hackers endommageant physiquement un équipement de production.

Réduire les pertes

Grace Ries rappelle que ces dommages potentiels sont ce qui a motivé FM Global à mettre en place son groupe de travail. L’équipe se compose de représentants de toutes les disciplines de l’entreprise, notamment IT, ingénierie, marketing, recherche et assurance (sinistres, service clientèle). Le groupe va œuvrer à mieux comprendre ce risque spécifique et pourrait mener des projets de recherche et formuler des recommandations.

« Le groupe de travail réfléchit à ce que nous pouvons faire pour l’évaluation des cyberrisques et la prévention des dommages », poursuit Grace Ries. « Nous ne souhaitons pas devenir un fournisseur de services de cybersécurité mais bien appréhender cette problématique du point de vue de la prévention des risques. »
Selon Grace, l’approche de FM Global aux cybermenaces ne diverge pas de celle adoptée pour les autres risques. FM Global réunit souvent les équipes pour analyser les risques émergents, à l’instar de l’impression 3D ou de l’utilisation de robots dans la fabrication. Elle compare les efforts en matière de cybersécurité à l’approche adoptée par FM Global pour protéger ses centres de données. FM Global étudie les systèmes de sauvegarde, les sources d’alimentation redondantes et le stockage hors site dans l’optique de réduire les risques auxquels sont exposés les centres de données.
L‘équipe cyber pourra développer des recommandations similaires pour la protection contre la cybercriminalité. Elles pourront concerner les systèmes de contrôle d’accès aux équipements, le rejet des contrôles électroniques ou les systèmes informatiques de sauvegarde ou de redondance en mesure de prendre le relais en cas de cyberattaque.
« Ce problème ne se résume pas à l’informatique », met en garde Grace Ries. « Nous voulons que les risk managers commencent à réfléchir aux données, à l’instar des autres problématiques liées à la gestion des risques en entreprise. »

Si FM Global peut proposer des recommandations pour prévenir les cyberattaques, un secteur tout entier existe déjà, dédié à fournir des pare-feu, une sécurité Internet, des tests contre les intrusions et de nombreux autres services en matière de cybersécurité. Compte tenu de la nature de ces menaces, il reste toutefois quasi impossible de neutraliser complètement les cybercriminels et de les empêcher d’accéder aux données sensibles et aux systèmes de contrôle critiques.

« La plupart des entreprises disposent déjà des protections judicieuses et pourtant les hackers parviennent à les contourner », déplore-t-elle. « La majorité des dommages sont évitables mais vous ne serez jamais complètement à l’abri. Le nombre de portes d’entrée est tout simplement trop élevé. »
FM Global va probablement se concentrer sur la réduction des risques et s’attacher à garantir que les entreprises disposent de protections qui leur permettent d’opérer même en cas de cyberattaque.
« Pour les systèmes d’opérations critiques, nous allons étudier les étapes raisonnables pour les protéger. Nous voulons réduire le risque de cyberattaque et, si quelque chose doit se produire, les entreprises doivent disposer des éléments adaptés pour pouvoir continuer à opérer. »

FM Global s’intéresse de près aux cyber risks

En septembre 2016, FM Global s’est doté de deux nouvelles entités spécialisées dans l’analyse et la prévention des cyber-risques. L’entité Ingénierie travaille à développer des outils et des méthodes d’évaluation afin d’aider les entreprises à mieux appréhender les cyber-risques et à s’en protéger. De son côté, l’entité souscription est chargée d’élaborer une stratégie de souscription et des garanties « cyber » adaptées aux besoins des assurés.
« Ces deux entités dédiées aux risques cyber nous permettront d’apporter à nos clients une expertise renforcée. Ce, en complément de notre police Advantage, aux garanties encore élargies cette année, en particulier pour les couvertures Cyber », confie Thierry Masurel, Directeur général de FM Global, Opérations de Paris.

(1) Attaque visant à rendre indisponible les services et les ressources d’une entreprise. [↩]

FM Global est le spécialiste mondial de la prévention, la gestion et l'assurance des risques industriels. Un seul but: garantir aux entreprises la continuité de leurs activités partout dans le monde.

Découvrir