Les Cyber-risques : un scénario de science-fiction devenu réel

Hacking, phishing, cyber-extorsion, prise de contrôle à distance : les virus et bombes logiques des années 80 semblent désormais bien dérisoires face aux nouvelles armes des hackers, cryptoLockers et autres pirates informatiques.

2016 serait d’ailleurs, selon Trendmicro – un des spécialistes des logiciels et solutions de sécurité – une année faste pour l’hacktivisme et l’extorsion de fonds.

Le développement des performances et des capacités des ordinateurs, la généralisation de l’accès à internet et l’accroissement de la facilité de navigation, l’avènement du « cloud », ont généré une exposition accrue aux risques de faille dans la sécurité des systèmes.

Aujourd’hui les pirates rivalisent de créativité et de technique pour élaborer de nouveaux vecteurs et de nouvelles méthodes d’attaques, qui permettent de contrer l’évolution des systèmes de sécurité, entrainant une escalade technologique, de part et d’autre.

En 2 ans, les fraudes et cyber-attaques ont augmenté de 26%.
61% des attaques résulteraient de spams (source : Kaspersky Lab)

Quels risques pour le dirigeant et son entreprise ?

Malgré le développement des outils et de la technologie, ceux-ci ne sont pas en mesure de créer les conditions d’un « risque zéro ».

Or, aujourd’hui, quelle entreprise n’est pas connectée ? Laquelle peut se dire indépendante des systèmes d’information ? Selon AXA, 62% des entreprises utilisent le cloud pour stocker leurs données.

Un incident cyber peut avoir des impacts désastreux sur une entreprise, voire pour son dirigeant :

• Désorganisation interne (ex: attaque par déni de service)
• Atteinte à l’image de marque (perte de confiance de ses clients / partenaires)
• Préjudices commerciaux (vol de documents commerciaux, brevets, secrets de fabrique de la société ou d’un tiers)
• Préjudices financiers (arrêt d’activité, frais de reconstitution des données, frais de défense en cas de mise en jeu de la RC de l’entreprise, paiement de dommages et intérêts aux clients lésés, perte de CA suite à la perte de clientèle, …)
• Préjudices personnels juridiques et financiers du dirigeant, en cas de réclamation d’un tiers envers le dirigeant, ce qui peut mettre en danger son patrimoine personnel

Les enjeux sont d’autant plus importants aujourd’hui avec les obligations qui incombent aux entreprises de protéger les données de leurs clients, y compris lorsqu’elles sont gérées par un sous-traitant.

Ainsi récemment, la société Optical Center a été condamnée à une amende de 50 000 €
avec publication de la décision pour absence de conformité des traitements des données
à caractère personnel (Délibération n°2015-379 du 5 Nov. 2015).

Selon la société ACTILAN, spécialisée dans la maîtrise d’œuvre de systèmes informatiques, le sort des entreprises qui subissent une importante perte de données est souvent aléatoire :

• 43% déposent le bilan après l’évènement
• 50% parviennent à perdurer 2 ans puis ferment
• Seulement 6% survivent

Comment se protéger ?

Comment donc protéger son entreprise face aux dangers que constituent de telles attaques, si même les systèmes de sécurité les plus élaborés peuvent être contournés ?

Faire de la prévention

Au-delà des démarches d’investissement en logiciels (firewall, antivirus…), la prévention en interne est déterminante.

Elle passe notamment par :

• Les procédures de sauvegarde des données, journalières et de préférence réalisées par une société spécialisée qui stocke les données à l’extérieur de l’entreprise
• La mise en place de procédés de sécurité, juridiques (référentiel sécurité) et techniques (test d’intrusion par exemple)
• La vérification de la fiabilité (juridique et technique) des partenaires commerciaux
• L’application de « bonnes pratiques ».
  En effet, l’utilisateur est responsable, involontairement, de plus du tiers des violations de données tandis que les erreurs système ne représentent que 27% des causes (source : 01Net). Et selon Orange Business Service, 39% des entreprises ont connu des failles de sécurité en raison de l’utilisation d’appareils personnels non autorisés.
  Il est notamment recommandé de : ne pas ouvrir les mails « douteux » et ne pas cliquer sur un lien contenu dans un mail, fermer la session en cours en cas d’absence prolongée, ne pas télécharger de données externes, ni connecter de clés USB avant vérification par le service informatique, saisir des informations confidentielles exclusivement lorsque le navigateur est sécurisé (https), etc.

Utiliser des contrats d’assurance adéquats

Parallèlement, et afin de sauvegarder la pérennité de l’entreprise si une attaque survient malgré tout, voire dès qu’une menace est avérée, les assureurs proposent désormais des produits d’assurance spécifiques permettant de faire face aux frais engendrés par la perte de données, à un arrêt d’activité, ou même aux mesures de prévention du risque avéré.

ATTENTION : les contrats « classiques » Multirisque, Bris de machine, Responsabilité Civile et Fraude ne sont pas prévus pour indemniser les frais générés par ces risques :

• Les contrats Multirisque et Bris excluent les virus et le piratage,
• Les garanties ne couvrent pas ou trop peu les conséquences financières sans origine matérielle
• Les contrats Responsabilité Civile ne prévoient pas l’indemnisation des frais de prévention en cas de menace

Ne pas oublier : s’organiser et communiquer

• Un plan de gestion de crise déjà réfléchi et élaboré peut faire gagner le temps vital à la survie de l’entreprise
• Un plan de reprise d’activité permettra de réparer ou minimiser les conséquences du préjudice subi.

Focus : la CNIL

La Commission Nationale de l’Informatique et des Libertés accompagne les professionnels dans leur mise en conformité et aide les particuliers à maitriser leurs données personnelles et exercer leurs droits.

Dans ce cadre elle a la possibilité de diligenter des enquêtes et de sanctionner pénalement les pratiques illégales ou non respectueuses des dispositions de la Loi Informatique et Libertés.

L’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant est régie par l’article 34 de la Loi Informatique et Libertés.

Pour aller plus loin

Sur le site de la CNIL :

• La CNIL en chiffres
• Loi 78-17 du 6 janvier 1978 modifiée
• Professionnels : comprendre vos obligations, démarches et les outils de conformité
• Faites le ménage dans l’historique de navigation

Autre sources :

• ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
• Article ENASS Papers du 11/05/2015 – Laure Schneider

Contactez-nous !

Nos équipes souscription et prévention des risques sont à votre disposition pour réfléchir avec vous aux meilleures solutions de prévention et de protection de vos cyber-risques. N’hésitez donc pas à nous solliciter !

Votre contact :

Anne LENGLET
Chargée de Compte Entreprise
Tel :+33 (0)4 72 83 89 12
Contacter par mail