Aller à la navigation Aller au contenu
en savoir plus

Cyber risques : une réalité à prendre en compte

Alors que les entreprises dépendent plus que jamais des systèmes informatiques pour mener à bien leurs activités, le nombre d’attaques cybercriminelles a littéralement bondi ces dernières années. Les gestionnaires de risques sont confrontés à une menace difficile à appréhender et qui peut en cacher d’autres… Explications.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

L’épisode ‘Petrwrap/Petya’ de juin dernier en est un exemple inquiétant : le 27, une vague massive de cyber-attaques frappait de nombreuses entreprises et administrations, en Europe et aux États-Unis, avec un niveau d’impact sans précédent. C’est un fait, depuis la fin des années 90, le nombre de virus et d’attaques informatiques a bondi alors, qu’en parallèle, la dépendance des entreprises aux systèmes informatiques s’est incontestablement accrue.

Des chiffres alarmants

L’enquête Global State of Information Security, menée récemment par PricewaterhouseCoopers LLP, nous apprend que le nombre de cyberattaques a augmenté de 38 % en 2015 par rapport à 2014. Une étude de l’Institut Ponemon, publiée en 2015 et réalisée auprès de 350 entreprises dans 11 pays, évalue quant à elle le coût moyen d’une violation de données à 3,8 millions de dollars.
Et la tendance n’est pas près de s’inverser : Cisco Systems, Inc. prévoit un boom de 200 % du nombre d’objets connectés dans le monde à l’horizon 2020. Ce qui multipliera mécaniquement les risques cyber pour les particuliers et pour les entreprises. Globalement, on estime qu’une cyberattaque à grande échelle pourrait avoir un impact économique de l’ordre de 50 milliards de dollars… chiffre comparable avec une grande catastrophe naturelle ! Ces estimations de coûts directs sont précieuses : elles ont permis aux gestionnaires de risques et responsables informatiques d’alerter leurs directions et de les inciter à s’équiper des bons outils de protection et de couvertures assurantielles adaptées à leur besoin.

Clarifier l’exposition aux risques

Ces chiffres donnent le tournis et pourraient entraîner un sentiment de résignation. Trop de menaces – pannes de serveurs, malwares, déni de service… – co-existent avec des conséquences qui paraissent également sans limites : espionnage industriel, demandes de rançons, divulgations d’informations critiques, paralysie des systèmes informatiques… S’il n’est pas simple de s’y retrouver, la définition des risques cyber proposée par l’APREF (Association des Professionnels de la Réassurance en France) permet toutefois d’y voir plus clair.

Pour l’association, « un risque cyber correspond à toutes atteintes à :

  • des systèmes électroniques et/ou informatiques [de production, d’exploitation, de gestion d’informations et de télécommunication] sous le contrôle de l’entité ou de ses prestataires et/ou ;
  • des données informatisées (personnelles, confidentielles ou d’exploitation) appartenant à ou sous le contrôle de l’entité, qu’elles soient transférées ou stockées chez elle ou chez ses prestataires.

Consécutives à :

  • un acte malveillant ou de terrorisme ;
  • une erreur humaine, une panne ou des problèmes techniques ;
  • un événement naturel ou accidentel.

Ayant pour conséquences :

  • des dommages corporels, matériels, et/ou immatériels (frais ou pertes financières), subis par l’entité et/ou ses employés ;
  • une mobilisation de ressources internes ou externes ;
  • des dommages corporels, matériels, et/ou immatériels, frais ou pertes financières causés par l’entité à des tiers (y compris chaînes logistiques / sous-traitants) ;
  • une atteinte à la marque et/ou à la réputation de l’entité. »

Cette définition précise est utile pour ne rien oublier dans un audit de risques. Car en définitive, l’essentiel est bien de connaître sa propre exposition et surtout les impacts financiers directs et business consécutifs à un sinistre cyber.

Des menaces plus ou moins critiques en fonction des modèles industriels

Les conséquences des risques cyber varient en fonction des secteurs d’activités, du business model et des équipements de l’entreprise.

Afin de mieux comprendre les potentielles conséquences en termes de dommages et pertes économiques, l’APREF a défini trois scénarios à titre d’exemples, associant risques et secteurs :

  • La compromission et vols de données :
    Loin de toucher uniquement les particuliers, les vols ou altérations de données peuvent avoir des conséquences graves pour les entreprises. Les secteurs du e-commerce, les centrales d’achat ou logistiques sont ainsi concernés, et susceptibles de voir la continuité de leurs activités perturbée ou devenir impossible. Avec des conséquences potentiellement dramatiques en termes de perte d’exploitation  ;
  • Les attaques ciblées avancées :
    Les ‘Advanced Persistent Threat’ concernent le vol d’informations, l’espionnage industriel, l’atteinte à l’image ou la déstabilisation en utilisant des procédés d’infiltration via les systèmes d’information et de communication d’une entreprise. Différentes techniques sont utilisées par les hackers (voir ci-après). Les conséquences varient en fonction de l’utilisation faite des fuites d’information : chantage financier, perte de compétitivité, dégradation de l’image de marque… Les secteurs pour lesquels les conséquences sont les plus lourdes sont ceux où l’information ou la recherche & développement occupent une place stratégique comme l’industrie pharmaceutique, les sociétés de conseil, les banques…
  • Atteinte des systèmes de télésurveillance et d’acquisition de données et système de contrôle :
    Lors d’une attaque de ce type, ce n’est pas uniquement le périmètre informatique de l’entreprise qui est impacté. Car aujourd’hui tout est connecté ; le risque cyber peut donc également s’infiltrer jusqu’à l’outil de production. La situation peut être particulièrement critique sur les secteurs sensibles comme l’industrie pétrolière, les secteurs de l’énergie ou de la chimie qui utilisent des équipements (électriques, mécaniques, hydrauliques…) contrôlés par des systèmes informatiques dédiés. Ces derniers dépendent de réseaux utilisant des solutions de collecte, d’analyse des données et de contrôle automatique des équipements, type SCADA (système de télésurveillance et d’acquisition de données) et ICS (système de contrôle industrie). Le plus souvent, ces réseaux n’intègrent pas de mécanismes de sécurité empêchant les intrusions. Un pirate qui réussit à les infiltrer est ainsi en mesure d’envoyer des commandes malveillantes. Ainsi, en décembre 2014, un industriel allemand a subi une attaque informatique sur son réseau administratif qui a compromis son système informatique et l’a empêché de stopper un haut fourneau. Cela a entraîné d’importants dégâts sur le site. En 2008, c’est un pipeline en Turquie qui a explosé suite au hacking du système de contrôle.

Quelques conseils pour mieux protéger son entreprise du risque cyber

Les dirigeants d’entreprise et les gestionnaires de risques ont donc une réelle prise de conscience à opérer en fonction de leur situation. Pour réagir de manière efficace, ils sont invités à se rapprocher de leurs assureurs. « Il est tout d’abord essentiel d’avoir une vision très précise des garanties que l’on a souscrites et de vérifier que les risques cyber sont bien couverts », détaille Sophie Gravereaux, Senior Adjuster chez FM Global, société où la data est considérée comme un bien matériel et où les coûts de reconstitution des données et systèmes sont pris en charge en cas de sinistre garanti. Les ingénieurs prévention FM Global accompagnent leurs clients pour mieux se protéger (voir infographie) mais une chose est sûre, il est urgent de comprendre et d’agir !

FM Global est le spécialiste mondial de la prévention, la gestion et l'assurance des risques industriels. Un seul but: garantir aux entreprises la continuité de leurs activités partout dans le monde.

Découvrir