Sécurité IT : les assureurs tirent le signal d'alarme
Les professionnels de la sécurité tiennent à alerter les entreprises sur un nouveau risque : trop miser sur l’approche assurantielle pour traiter les menaces informatiques.
C’est Stephen Catlin, patron et fondateur du plus gros assureur de la Lloyd’s of London, le Catlin Group, qui tire la sonnette d’alarme. Pour lui, cela ne fait pas de doute, les attaques informatiques sont désormais si dangereuses pour les entreprises qu’il faudrait le soutien des gouvernements pour couvrir les risques.
Dans les colonnes du Financial Times, Stephen Catlin explique ainsi que la cybersécurité représente le risque systémique le plus important qu’il ait connu en 42 ans de métiers. Et d’assurer que « nos comptes ne sont pas assez robustes pour payer pour cela ». Stephen Catlin s’exprimait à l’occasion d’une conférence londonienne sur le marché de l’assurance.
Une couverture du risque IT qui s'appuie sur les Etats
Une demi-surprise, toutefois. A la suite du double-piratage des services en ligne de Sony, en 2011, Patrick Pouillot, Directeur de souscription assurance des systèmes d’information pour l’Europe continentale chez ACE Europe, relevait qu’il était « probable que les assureurs ne puissent pas totalement assumer ». Selon lui, à ce moment-là, il était possible que « le marché de l’assurance [n’ait pas encore] pris conscience de la portée du risque avec les effets multiplicateurs d’Internet ». Pour lui, le cas Sony s’inscrivait dans « un scénario complètement atypique et totalement exorbitant de ce qu’un assureur peut supporter ».
La prise de conscience semble avoir pleinement eu lieu. Pour plusieurs analystes, les commentaires de Stephen Catlin soulignent les réserves des assureurs quant à couvrir les risques informatiques. Pour le fondateur de l’assureur, les risques informatiques sont d’ailleurs difficiles à modéliser et les vulnérabilités, présentes dans des logiciels largement répandus, voire au sein même de l’architecture d’Internet, peuvent faire tomber les systèmes de manière globale.
Pour Stephen Catlin, si les gouvernements ont déjà établi des schémas de couverture du risque terroriste s’appuyant sur les Etats, comme Pool Re au Royaume-Uni, il doivent faire de même pour un risque cyber qu’il estime encore plus important.
L’assurance ne fait pas tout
Rob Lay, architecte solutions de sécurité informatique chez Fujitsu, pour le Royaume-Uni et l’Irlande, juge pour sa part que les entreprises ne devraient pas se reposer sur l’assurance pour se protéger des attaques : « l’assurance peut aider à réduire une partie de l’impact financier d’un incident ou d’une brèche de sécurité, mais le préjudice d’image et l’impact opérationnel ne peuvent pas être réparés de la même manière par l’assurance ».
Dès lors, pour lui, les entreprises doivent adopter une approche mesurée et considérer les personnes, les processus et les technologies impliqués dans la réponse aux menaces qui les concernent : « en adoptant cette approche fndée sur les risques, les entreprises peuvent s’assurer d’être capables de faire face en priorité aux problèmes les plus importants et les plus menaçants ».
La multiplication et la médiatisation croissante des attaques informatiques ont largement contribué à assurer la promotion d’une couverture assurantielle de risques résiduels – quelles qu’en soient les origines. Mais selon une étude PAC pour Steria, seules 15 % des entreprises estimaient, début 2014, avoir une assurance couvrant les cyber-risques. Un verbe qui ne manque pas d’une ambiguïté certaine qui, selon Florent Skrabacz, alors directeur des activités sécurité de Steria en France, reflétait bien une réalité du marché : « la difficulté de ces contrats est de dire où commence et s’arrête la couverture. L’assurance des cyber-risques, notamment dans son volet qualitatif, reste floue », commentait-il alors.
Et puis, le décalage entre le coût des incidents de sécurité vu par les assureurs, et celui vu par les entreprises, tend à montrer les limites pratiques et financières de la couverture assurantielle.
Alors, pour Darren Anstee, directeur architecture solutions chez Arbor Networks, on peut espérer que les organisations, mesurant le coût d’une attaque réussie, et le risque métier associé, se décident à investir pour améliorer leur posture de sécurité. « Mais défendre les organisations contre les menaces d’aujourd’hui n’est pas qu’une question de technologie. Il faut au moins se concentrer autant sur les personnes, les processus, et les workflows qui sont concernés ».
Avec nos confrères de ComputerWeekly (groupe TechTarget).