François Brisson, Hiscox France : « un tiers des cyber-attaques passe par les prestataires IT »
Un tiers des cyber attaques passent par les prestataires de IT (source : étude Symantec mars 2012 – données françaises). D’ici fin 2014, la législation européenne devrait rendre obligatoire la notification des données personnelles détenues par les entreprises. Pain béni pour les assureurs ! De nouvelles problématiques assurantielles ont également émergées avec le Cloud Computing et le Byod (Bring your own device). Les données, c’est sacré ! Leur protection, une priorité…
Où en est l’assurance des cyber-risques en France ?
François Brisson (Responsable marché Technologie-Média-Telécom – Hiscox France) :Tout d’abord, il faut dire que c’est un nouveau marché en France. De fait, il n’y a encore que quelques compagnies d’assurances qui interviennent aujourd’hui dans ce domaine. Pionnier en France et assureur spécialisé notamment dans cette typologie de risques aux États-Unis depuis 2005, Hiscox propose un contrat dédié à la cybercriminalité en Europe que depuis environ deux petites années.
Les entreprises françaises prennent-elles quand même la mesure des risques ?
François Brisson : Il y a un an et demi, on évangélisait - je ne vais pas dire « dans le désert » mais pas loin, - sur la réalité du risque. Aujourd’hui, on n’en n’a plus besoin. N’importe quelle entreprise qui détient des données à caractère personnel ou sensibles peut être concernée par ce type de risques, un moment ou à un autre, et en a conscience.
Et le risque de hacking s’accroit …
François Brisson : On assiste à un phénomène de professionnalisation du hacking au niveau mondial. Avec le développement de la mobilité des systèmes d’information, les entreprises se trouvent exposées à de nouveaux risques. Il y a encore quelques années, ces risques n’étaient pas très bien appréhendés que ce soit au niveau de la technique ou de l’assurance.
Comment sont couverts les risques liés aux données ?
François Brisson : En fait, un contrat d’assurance dans ce domaine est plus complexe que d’autres parce qu’il fait appel à différentes garanties : c’est pour cela que nous avons créé une offre globale de services qui répond aux besoins de l’entreprise face aux différentes problématiques liées aux données. Cette offre comporte des garanties dommages et de responsabilité civile qui couvrent les réclamations des tiers en cas de violations de données. Par exemple, il y a une problématique de surveillance des données volées : c’est-à-dire surveiller pendant un an que les données bancaires subtilisées ne soient pas réutilisées dans le système bancaire via une filiale aux Bahamas, aux États-Unis, en Norvège, etc. C’est ce qu’a fait Sony en 2011. [NDLR
- victime d’une intrusion dans le réseau PlayStation Network en avril 2011 et du vol de dizaines millions de données d’identité personnelle et bancaire.)
Quels autres coûts liés au système information sont-ils couverts par les assurances ?
François Brisson : Le but du contrat d’assurance Data Risks by Hiscox est notamment de couvrir les frais directs importants que devra assumer une entreprise victime de hacking - comme un site de vente en ligne, par exemple : les pertes de revenu, les frais de notification et d’avocats spécialisés, la restauration des données, la mise à jour de la sécurité IT, etc. Hiscox prend d’ailleurs en compte les frais liés à l’expertise IT. Quand un problème de sécurité surgit, il est obligatoire de chercher les causes, de réparer puis de colmater les brèches, etc. Il ne faut pas également négliger les coûts de la gestion de réputation de l’entreprise hackée qui peuvent être importants. En effet, l’intervention d’une agence de communication spécialisée est souvent nécessaire. Là, on parle d’image, de gestion de crise, d’e-réputation…
Les notifications à la CNIL sont obligatoires aujourd’hui …
François Brisson : Une ordonnance du 24 août 2011 oblige les entreprises qui «
ont des opérations de télécommunication électronique » à notifier à la CNIL les problèmes de sécurité qui impliquent des données personnelles. Une définition un peu large qui, aujourd’hui, dans l’application, concerne les fournisseurs d’accès Internet et les opérateurs télécom. Ensuite, la CNIL décide, en cas de sinistre, si oui ou non il convient de prévenir et de notifier individuellement les utilisateurs. En France, pour l’instant, cela n’est encore jamais allé aussi loin et une notification au grand public n’a jamais eu lieu.
Cette absence d’obligation est-elle le motif du désintérêt des entreprises, jusqu’ici, vis-à-vis des assurances ?
François Brisson : Oui. Le marché des assurances a démarré aux États-Unis parce qu’il y a eu une obligation de notification en 2005. Mais finalement, c’est ce qui se passera en France d’ici fin 2014, si l’en en croit la Commission Européenne. Toutes les entreprises qui stockent des données à caractère personnel devront s’y soumettre. Et des données personnelles, tout le monde en a : à commencer par celles de ses propres employés.
Cela signifie que la plus petite entreprise sera concernée par cette obligation de notification ?
François Brisson : Absolument ! Aujourd’hui, les petites entreprises sont particulièrement ciblées par les réseaux de « hacking » parce qu’elles sont moins bien protégées d’une façon générale. Et ces TPE/PME ont un autre problème puisqu’elles ne possèdent pas de service IT organisé pour contrer ce type de menace. Elles sont donc plutôt demandeuses d’une équipe de sécurité externalisée telle que nous proposons de mettre en place avec notre contrat.
Qui sont les partenaires qui effectuent les expertises techniques ?
François Brisson : Pour l’expertise IT, Hiscox s’est attaché à travailler avec des sociétés françaises. Nous ne nous sommes pas appuyés sur des grands réseaux mondiaux d’expertise. Ce n’est pas le souhait de nos clients.
Les entreprises préfèrent des sociétés françaises à cause de leurs données sensibles ?
François Brisson : La violation de données est une pratique activiste importante qui vise des grands symboles économiques ou politiques. Les entreprises françaises sont donc des cibles potentielles. En effet, tout ce qui concerne l’intelligence économique est une véritable préoccupation : le patrimoine d’une entreprise peut dépendre d’une innovation ou de certaines données qu’il faut absolument protéger. Cela est d’autant plus essentiel qu’aujourd’hui, dans le monde entier, une entreprise qui réussit intéresse beaucoup de monde.
Vous exigez des audits de sécurité préalables avant d’accorder des garanties ?
François Brisson : Après un questionnaire retourné par l’entreprise qu’elle a complété avec son courtier, nous décidons ensuite de missionner ou non un audit auprès de nos assurés. L’audit que nous réalisons sur ce point est un vrai service - à la différence de ce qui se fait en garantie incendie où l’audit est moins poussé. Il peut durer jusqu’à deux ou trois jours : nous observons les différents niveaux de sécurité mis en place, ce qui aura évidemment une influence sur la prime, le montant de garantie et les franchises, que nous adaptons.
Quelles sont les entreprises qui ont aujourd’hui besoin de s’assurer ?
François Brisson : Nos assurés actuels peuvent être répartis dans trois domaines : la grande distribution, la santé et, ce que nous appelons l’« hospitality ». Dans ce dernier cas, il s’agit d’un domaine assez vaste qui regroupe l’hôtellerie-restauration, le tourisme-voyages, la location de voiture, le secteur autoroutier…
Les professionnels de l’informatique se sentent-ils également concernées par la problématique d’assurance ?
François Brisson : Les SSII sont un peu moins demandeuses parce qu’elles connaissent parfaitement leur métier et ont le sentiment d’être mieux protégées que les autres. C’est sans doute vrai, mais ce n’est pas forcément tout le temps le cas… En revanche, on constate que les clients des prestataires exigent de plus en plus des garanties financières de leur part pour prendre en charge les conséquences liées à la sécurité des données.
Donc, vous n’accompagnez pas encore des gros contrats, d’externalisation par exemple, pour les SSII ?
François Brisson : A l’heure actuelle, nous avons tout de même plusieurs cotations pour ce type d’entreprises. En effet, je pense qu’à terme, la garantie en cas de vol de données fera partie intégrante de leur proposition de services. Ces sociétés communiqueront auprès de leurs clients en leur tenant un discours tel que : «
non seulement nous sommes extrêmement bien équipés au niveau sécurité, mais pour les rares cas où, éventuellement, on peut rencontrer un problème, nous avons également une garantie d’assurance adaptée ». Il s’agira plutôt d’un argument commercial : je pense que les hébergeurs des grosses structures de Cloud vont utiliser ce type de discours.
Vous traitez l’activité de Cloud de façon particulière ?
François Brisson : Effectivement, le « Cloud » est devenu pour nous une activité à part entière. Avant, c’était un outil pour les sociétés d’informatique. Mais, aujourd’hui, le Cloud est une activité en tant que telle au même titre que l’hébergement ou l’édition de logiciel.
Mais existe-t-il un risque spécifique lié au Cloud ?
François Brisson : C’est le phénomène de Cloud qui renforce aujourd’hui la réalité de ce risque. On sait qu’un tiers des cyber-attaques environ passe par les prestataires IT (*). Il existe donc une "faille" avec des conséquences en chaine plus importantes. En effet, si un hébergeur est impacté, il peut alors y avoir plus de 300 ou 10 000 clients touchés à leur tour.
D’autres technologies ont droit à un traitement particulier ?
François Brisson : Les appareils mobiles sont également une porte d’entrée significative pour les hackers puisqu’ils utilisent beaucoup les technologies liées aux applications Web comme point d’accès dans les systèmes. Les services délivrées en mode « SaaS », et donc via le Cloud, sont donc une cible privilégiée. Ces risques sont désormais démultipliés avec la prolifération des points d’entrée dans les SI (Byod, réseau social d’entreprise, etc.) et l’avènement du « Big Data » accélère ce phénomène.
Justement, ce phénomène de BYOD qui est d’ailleurs souvent cité par les DSI comme une grosse faille potentielle de sécurité pour un SI…qu’en pensez-vous ?
François Brisson : Comme l’indique l’ANSSI, le Byod est un élément aggravant. Pour nous, il peut être un élément neutre mais il reste généralement plutôt aggravant à cause de la facilité d’accès à des données clés. Nous avons une certaine méfiance vis-à-vis de tous ces mobiles qui donnent accès à l’ensemble des systèmes d’information de l’entreprise.
Le BYOD peut renchérir une prime d’assurance…
François Brisson : Oui, ça peut durcir les conditions de primes ou de franchise. Ou alors, cela peut nous amener à énoncer des recommandations sur la protection d’un parc d’appareils mobiles sur lequel, par exemple, aucune politique de mot de passe sérieuse ne serait appliquée.
Rencontrez-vous les DSI ?
François Brisson : Il y a deux ans, on était un peu mal accueilli par les DSI parce qu’ils ne voyaient pas l’intérêt de l’assurance au sein de leur métier et pensaient qu’on remettait en cause leur travail. Aujourd’hui, ils ont compris que l’assurance est un outil complémentaire qu’ils peuvent utiliser ou porter en entreprise, même si les demandes d’assurance proviennent plus des directions financières et des directions générales. Pour nous, les DSI sont des partenaires avec qui nous discutons beaucoup et qui valorisent notre offre globale de services. (*) Source : étude Symantec mars 2012 – données françaises