On a tendance à dire que chaque innovation s’accompagne de travers. C’est vrai pour l’informatique qui a vu la perte de données devenir un sinistre parfois systémique pour les entreprises de l’ère numérique. Mais le risque le plus important dans le cadre du passage au tout numérique est tout particulièrement celui de la cybercriminalité.
A l’ère du digital banalisé, le piratage informatique que l’on appelle plus communément la cyber-attaque explose sachant que 80% des activités de l’entreprise sont immatériels. En fait, le passage au monde numérique ouvre de nouvelles portes : modèles contractuels inédits dans l’assurance, rapidité dans l’exécution des process ; dématérialisation de beaucoup de documents et donc rationalisation de leur prix de stockage sans oublier leur pérennisation, etc.
Dans le même temps, les effets négatifs de ce changement sont multiples et se résument en un point : le cybercrime. Désormais, chaque entreprise est susceptible d’être cyber-attaquée depuis l’externe comme en interne. Dans les deux cas, elle doit s’équiper en outils de protection contre les systèmes d’information. Mais en la matière, la plus grande protection reste culturelle. Il est important de sensibiliser les collaborateurs, maillon fiable d’un tel risque.
Les premières offres étaient anglo-saxone
Du fait de son caractère ondoyant et divers, le cyber-risque ne peut être totalement pris en charge par l’entreprise. D’où la nécessité de le transférer, au moins partiellement, aux assureurs. Ces derniers proposent désormais des solutions d’assurance cyber. Et face à une demande en constante croissance, est née une offre qui devient, avec le temps, mature. Comme à l’accoutumée, elle nous est venue d’outre-Atlantique. Désormais, des acteurs locaux s’y positionnent, aux côtés des Américains. Ces derniers ont souvent l’avantage de disposer d’une expérience qui se valorise souvent en termes de nombre de sinistres déjà gérés. De leur démarche empirique, ils ont retenu notamment la nécessité de proposer des services pratiques (notification à envoyer aux clients lésés dans le cadre d’une attaque ; intégration des prestations de reprise d’activité immédiate en cas d’attaque (Disaster Recovery, etc.).
Si sur le terrain, les entreprises semblent avoir pris conscience de ce risque, il est difficile d’y voir plus clair, notamment en France où chaque acteur se complaît à évoquer les cyber-déboires de ses concurrents et passe sous silence les siens. Les seuls attaques connues et commentées nous viennent de l’étranger. Est-ce à dire que la France fait figure de sanctuaire ? Loin de là. Entre le mutisme à tout va et la transparence, l’Hexagone a choisi son camp, jusqu’au jour où une ampleur capitale viendrait secouer une entreprise. Et encore.
Pour autant, les malversations ne proviennent pas uniquement de l’externe. Selon les observateurs, le risque d’une attaque interne à l’entreprise est plus plausible que l’inverse. Et pour cause, le collaborateur n’est pas soumis aux mêmes barrières de sécurité que les personnes étrangères au système d’information ou alors dispose de privilèges en termes d’accès. Quel qu’en soient les cas, le résultat est souvent le même : abuser de l’entreprise.
E. M.
À voir aussi
À la Une
Xavier Veyry (Axa XL) : "Les risques géopolitiques sont une réalité"
À la Une
Étienne Champion (Axa XL) : "La gestion des capacités et la sélectivité sont vitales"
