La résilience du SI doit être approchée avec une logique de gestion du risque. Quelles sont les menaces pesant sur le SI, quelle sont les gravités et les probabilités de chacune ? Qu'est-ce qui est pertinent de faire pour contrer ces risques... ou les assumer ? Parmi les moyens pour couvrir un risque encouru, il y a le recours à l'assurance. Ce moyen est d'emploi très marginal. « 1 % des entreprises seulement ont un contrat d'assurances cyber risques » a ainsi déploré Françoise Mari, directrice lignes financières chez l'assureur QBE, à l'occasion d'une présentation le 10 septembre 2019. Or le coût induit par les cyberattaques ne cesse d'exploser, pouvant mettre réellement en difficultés les entreprises victimes.

Si la compagnie d'assurances elle-même couvre un risque sur le plan financier, elle s'appuie sur des partenariats avec des experts dédiés pour une assistance plus technique. Dans le cas de QBE, Inquest est proposé aux clients pour l'assistance à la gestion de crise et Sysdream pour les tests d'intrusion et la formation des collaborateurs. L'intérêt de l'assureur comme de son client est en effet que le risque ne se réalise pas. Malgré tout, les expertises et prestations menées ne sont jamais communiquées à l'assureur (comme un examen médical dans le cas d'une assurance-vie). Françoise Mari a rappelé les chiffres bien connus de l'Etude Ponemon 2018 : une intrusion est détectée en moyenne au bout de 163 jours au niveau mondial, avec une forte disparité. Ainsi, si aux Etats-Unis la durée de découverte est en moyenne de 90 jours, elle est de 175 jours en France et parfois plus de 400 en Asie.

La sauvegarde ne vous sauvera pas

Le principal type d'attaque (92 % des cas) est le classique phishing. L'arnaque au président et l'ingénierie sociale sont également devant des attaques véritablement techniques telles que le DDoS (attaque par déni de service). Les ransomwares pénètrent les systèmes en général avec la complicité involontaire des collaborateurs, simplement par mail. Il y a cependant des intrusion via des failles web ou utilisant les API de télémaintenance, avec les ouvertures béantes dans la sécurité impliquées par les autorisations accordées aux télémainteneurs. Une attaque par ransomware bien menée commence par le chiffrement des sauvegardes accessibles. Lorsque le chiffrement des données d'exploitation commence et l'attaque est détectée, les sauvegardes sont déjà inutilisables. Il reste bien sûr la possibilité de rendre physiquement inaccessibles les sauvegardes (off-lines).

Pour l'entreprise, une cyberattaque a des conséquences financières importantes. Il s'agit d'abord du coût de réparation (logicielle et datas). Parfois, cela inclut des coûts de ressaisie. Mais le plus lourd réside probablement dans l'arrêt d'exploitation voire les atteintes à la réputation, grévant l'activité même de l'entreprise. Enfin, une atteinte à des données personnelles peut entraîner des amendes au titre du RGPD : jusqu'à 4 % du chiffre d'affaires mondial.

La cyber-assurance a son périmètre dédié

Le sujet est controversé car il existe une interdiction de couvrir une condamnation pénale par une assurance mais certaines polices couvrent les amendes administratives infligées par la CNIL. « Ce type de couverture est bien présent dans les contrats d’assurance, pour autant que ce soit légalement assurable. Nous attendons donc de voir comment cela va être traité au regard des dernières sanctions pécuniaires prononcées par la CNIL et celles à venir » a affirmé Amanda Maréchal, souscriptrice cyber chez QBE. Bien évidemment, la discrétion sur les heureux bénéficiaires comme sur les compagnies concernées est de mise. Malgré tout, l'atteinte aux données, dans le sens donné à ces termes par le RGPD, et l'atteinte au SI sont les deux grands événements déclencheurs d'une indemnisation au titre d'une cyber-assurance.

L'assurance peut également couvrir les dommages propres internes à l'entreprise comme les coûts d'investigation, le surcoût d'exploitation, la participation de personnels ou de prestataires à l'enquête officielle, la perte d'exploitation, la restauration des systèmes, les fonds versés dans le cadre d'une extorsion, les frais de communication (notamment la notification RGPD aux personnes concernées par une atteinte à leurs données). A l'inverse, certains dommages sont en principe couverts par d'autres assurances comme les dommages corporels (si la panne informatique a entraîné un dysfonctionnement qui a provoqué un accident de personne), les dommages matériels, les défaillances d'infrastructures, les transferts frauduleux de fonds (en dehors du paiement des rançons)... Comme les rapports d'expertise restent confidentiels, l'assureur va fixer une prime d'assurance en se basant sur l'activité de la société, les types de données personnelles collectées, l'organisation et la gouvernance, la sécurité du SI mise en place, l'efficacité du PRA et du PCA et les statistiques de sinistres.