Lydie Thavaux, Axelliance Entreprises : « Dés qu’il existe une entrée dans un SI, il y a faille »

Tout business sur internet comporte des risques. Il revient aux entreprises d’évaluer ces faiblesses et de les corriger, mais également d’assurer les conséquences financières d’un sinistre éventuel. Une démarche qui n’irait pas encore de soi pour les entreprises françaises.

 

D'une manière générale, quel est le périmètre des cyber-risques défini par une compagnie d’assurance comme la vôtre?

Tout ce qui concerne la protection des données personnelles et stratégiques des clients, au travers des réseaux informatiques, et les risques qui en découlent tels que le piratage, le hacking. 

Mais certains problèmes internes, dus aux collaborateurs, sont également pris en compte, même si, dans ces cas, on sort du domaine du cyber-risque proprement dit. Il peut s’agir de malveillance (le détournement d'informations pour la concurrence, par exemple) ou, plus simplement, de négligences ou de défaut de sécurité en interne (un employé qui va télécharger des données sur une clé USB, en ne pensant pas, justement, aux conséquences ...) 

Quel est le profil de vos clients?

Des sociétés informatiques, bien sûr, mais plus largement des sociétés qui se sont vues confier des données clients, qu’il s’agisse d’informations sur les cartes bancaires mais aussi de données médicales ou personnelles. 

Dans le premier cas, cela concerne des sites marchands. Dans le second, des centres hospitaliers, par exemple... 

Où se situent les plus gros risques aujourd'hui?

Le piratage - quelqu'un qui s'introduit dans le réseau pour voler ou détruire des données - est un phénomène qui croit énormément.

Comment intervenez-vous dans ce cas?

A deux niveaux parce que  le préjudice subi par une société victime d’une attaque est de deux ordres : l’atteinte aux données clients proprement dit et  la détérioration de sa réputation qui en découle. 

Quand une entreprise subit une attaque et que des données ont été volées, donc dispersées dans la nature, la première chose à faire est de notifier aux clients de l’entreprise assurée la perte de leurs données. C’est ici que, dans un premier temps,  nous intervenons. Nous constituons des cellules de crise pour gérer tous les appels nécessaires. 

Dans un second temps, nous évaluons comment la société est pénalisée par rapport à son image et nous intervenons au niveau de  l’e-réputation, avec une équipe chargée d’une reconstitution d'image, la mise en œuvre de moyens marketing... 

Comment s’articulent les garanties proposées dans un contrat?

Tout d’abord, la garantie des pertes financières et de revenu subies par l’Assuré. Exemple : un site marchand paralysé par une attaque dont le paiement en ligne ne fonctionne plus. Dans ce cas, le client sera indemnisé pour le préjudice pécuniaire subi. 

En cas de failles du système de sécurité informatique, de cyber piratage ou de cyber extorsion, les frais suivants peuvent être pris en charge : 

  • frais de notification des atteintes aux données personnelles. 
  • audit réalisé par des experts informatiques pour déterminer où se trouve la faille et corriger. 
  • frais de reconstitution des données 
  • frais de « veille » : suite au sinistre, et pendant un an, les mesures de sécurité seront régulièrement auscultées par un prestataire professionnel sélectionné par nous. 

Comme nous l’avons vu, ce type de contrat prend également en compte un service de gestion de crise, au niveau de la réputation : marketing, reconstruction d'image. 

Enfin, une prise en charge des frais de défense et des dommages & intérêts au titre de la garantie responsabilité civile de l‘entreprise en cas de perte, violation de données ou mise en cause liée à une diffusion sur internet (propriété intellectuelle, diffamation, atteinte à la vie privée) 

Nous essayons de couvrir vraiment toute la chaine du sinistre, de l’instant où il advient jusqu'au moment où il est réglé ; de l'indemnisation à la remise à niveau de la sécurité du système informatique. 

Que représentent aujourd'hui les dégâts liés aux  cyber-risques en France?

En France, en fait, on a du mal à connaitre exactement ces dégâts. Il est difficile d’obtenir des remontées ou des statistiques. C’est moins vrai aux Etats-Unis. Le phénomène est encore récent ici même s’il se développe fortement. Et puis, il y a également la difficulté d’en parler. Quand on subit ce genre de choses, on reste assez discret, ce qui est plutôt normal. 

Quoiqu’il en soit, le problème est bien là malgré cette difficulté à l’évaluer...  Les sociétés, je pense,  commencent à y être bien sensibilisées. 

Les petites entreprises autant que les grosses?

Les sociétés avec lesquelles nous travaillons sont plutôt des entreprises de taille Intermédiaire (ETI), de cent à deux cents personnes. 

On reproche souvent aux entreprises de cette taille de ne pas être sensibilisés aux problèmes de sécurité.

Clairement, elles commencent à l'être. La presse en parle de plus en plus (comme récemment à propos d’une intrusion dans le système d’information de l’Elysée). Du coup, ça parle aux gens. 

Et puis, c'est vrai que les données confidentielles des clients, c’est une responsabilité… 

Les entreprises, de fait, se montrent de plus en plus attentives. La détention d’informations  médicales, notamment, est un sujet extrêmement sensible. 

A quoi ressemble le marché de l’assurance des risques informatiques et comment s’y distinguer?

Aujourd'hui, il y a plusieurs offres sur le marché, proposées autant par des  compagnies françaises que par des compagnies étrangères. 

Notre but est de construire un intercalaire en créant les meilleures garanties adaptées aux besoins de nos clients,  et vraiment travailler le service en considérant l’écosystème de la sécurité informatique. Concrètement, nous avons un partenariat avec un prestataire spécialisé dans le domaine informatique et donc notre offre concernera autant les garanties que l’assistance.

Avant d'assurer une entreprise, vous effectuez un audit des risques?

Exactement. Cet audit est réalisé par notre partenaire.  Ce travail va révéler les failles informatiques, les niveaux de sécurité plus ou moins respectés. Nous étudions actuellement la possibilité de créer un rating en fonction du niveau de sécurité détecté par l'audit : plus le niveau de sécurité sera meilleur, plus la série de primes sera faible. Nous souhaitons vraiment associer les deux. Et insister auprès du client sur l'aspect protection. 

Qu’est-ce qui est regardé plus particulièrement?

Tout. Les antivirus, les règles de sécurité adoptés par la société, sa politique de mots de passe, l’utilisation des clés USB, dans quelles conditions elles sortent de l'entreprise... 

Vous exigez une charte de politique de sécurité dans l’entreprise?

Non. Une fois que l’audit a révélé le niveau de sécurité, nous analysons le risque et fixons la prime en conséquence. Nous pouvons être amenés dans certains cas, pour pouvoir proposer une garantie, à suggérer des améliorations Mais, à la base, on n'exige rien. 

Il s’agit tout de même de risques  assez particuliers?

L'important, c'est de sélectionner les bons prestataires pour que les interventions soient de qualité. Notre plus-value, c'est vraiment de s'entourer d'un réseau, de s’intégrer dans un écosystème. Ceci signifie  de  surveiller ce qui se fait au niveau de la détection des failles et des mesures de sécurité. 

La prise de conscience des risques informatiques est en retard en France? 

Plutôt en retard. En Angleterre, par exemple les entreprises sont un peu plus alertées sur le sujet. L’offre de produits d’assurances est apparue il ya deux ans en France, par le biais de compagnies étrangères qui travaillent beaucoup aux Etats-Unis. La –bas il existe une législation qui oblige les entreprises à  notifier les pertes de données à leurs clients … 

En France, cette obligation de déclarer la perte de données n'existe pas encore?

Ici, le devoir de notification n’est obligatoire que pour les fournisseurs d'accès à internet et les opérateurs télécoms.  A priori, cette obligation doit être étendue d'ici peu de temps, à l'ensemble des activités. Mais pour l'instant, ce n'est pas le cas. 

Vous devez traiter beaucoup de sinistres?

Non, franchement non, notamment compte tenu de « l’omerta » sur le sujet. Nous sommes persuadés que notre solution va permettre aux entreprises de mieux appréhender et gérer ce type d’évènement. 

Quel est votre sentiment sur le degré de sécurité des systèmes informatiques aujourd'hui?

Le problème est que tout le monde prétend que le niveau de sécurité est meilleur que jamais et qu'on ne peut pas faire mieux. 

En fait, dès qu’il existe un accès, il y a une faille, toujours.  Les pirates ne cessent pas de se perfectionner et il apparait toujours un nouveau virus… que les antivirus ne détectent pas toujours! 

Tout cela est très productif …

Pour approfondir sur Menaces, Ransomwares, DDoS