« Face aux cybermenaces, il faut raison garder, je suis totalement d'accord avec Philippe Cotelle, président de la commission SI et administrateur de l'AMRAE » tient à préciser Frédéric Rousseau, responsable marché cyber de Hiscox Assurances France. Il ajoute : « face aux cybermenaces, notre message est celui de la prévention ». Démarrée il y a une quinzaine de jours, une polémique se focalise sur un chiffre : 65 % des entreprises françaises paient les rançons des ransomwares. Ce chiffre a été mis en avant un peu partout, a provoqué de nombreux commentaires et peut faire peur. Bien entendu, il ne s'agit pas de 65 % de toutes les entreprises mais 65 % des entreprises ayant déclaré avoir été affectées par un ransomware, ce qui est clairement précisé dans l'article de CIO. Il n'en demeure pas moins que, en la matière, la France est mauvaise élève puisque la moyenne mondiale est de 58 %. Mais il est nécessaire de repositionner les faits et surtout les bonnes approches à avoir. Le sujet sera évidemment au coeur de la CIO.expériences Résilience IT : garantir la continuité d'activité face aux crises organisée par CIO et qui sera diffusée le 15 juin 2021.
Pour commencer, l'étude mise en doute par Philippe Cotelle a été réalisée par Forrester Consulting, en partenariat avec Hiscox. 6042 entreprises ont été interrogées sur 8 pays (Royaume-Uni, États-Unis, Allemagne, Belgique, Espagne, Pays-Bas et France). Elle est réalisée annuellement depuis cinq ans auprès d'entreprises d'un panel représentatif sans lien avec la clientèle d'Hiscox. 1037 entreprises de tous secteurs et toutes tailles ont été interrogées en France. « Le socle est sérieux et permet de comparer les résultats et pratiques entre pays et également d'observer leur évolution dans le temps » relève Frédéric Rousseau. En 2021, l'étude comporte une nouveauté sur la maturité des entreprises face aux cybermenaces. Frédéric Rousseau indique : « nous voulons faire passer le message que l'expertise est importante pour affronter les cybermenaces ». En effet, l'étude montre que, en moyenne, les entreprises expertes s'en sortent mieux que les novices. Pour préciser le sens des fameux 65 %, Hiscox indique : « parmi les 1037 entreprises françaises, 49 % ont déclaré avoir subi une cyber-attaque, soit 506. Parmi ces 506, 14 % ont fait face à un ransomware (soit 69), contre 16% pour l'ensemble des pays. Parmi les 69 entreprises françaises ayant déclaré avoir subi une attaque de type ransomware, 65% ont déclaré avoir payé une rançon, soit 45, contre 58% tous pays confondus. »
Les assureurs ne sont pas coupables
Mais la maturité globale des entreprises françaises en matière de cyber-risques en général et de relation à la cyber-assurance en particulier pose tout de même question. « La tendance des entreprises est de payer trop facilement les rançons » reconnaît Frédéric Rousseau. Mais il précise : « la polémique sur le lien entre assurances/assureurs d'une part et paiement de la rançon d'autre part ne me semble pas pertinent. La première raison, c'est le faible taux d'assurance des entreprises françaises. Par ailleurs, un assureur ne paiera jamais la rançon. Parmi les assureurs, certains accepteront de rembourser la rançon payée, les autres refuseront. » L'assurance cyber repose en effet toujours sur trois piliers : l'assistance face au sinistre, le dédommagement des dommages subis et la couverture des dommages causés aux tiers.
Face à un ransomware, la première réaction d'un cyber-assureur est donc d'envoyer des experts sélectionnés pour accompagner l'entreprise. « Il s'agit de tout faire pour éviter à l'entreprise victime d'un ransomware d'avoir à payer la rançon » insiste Frédéric Rousseau. Cela commence par la prévention. Celle-ci s'exprime notamment dès la souscription d'un contrats, à travers le questionnaire qui permet d'attirer l'attention sur la sécurité des accès, la sécurisation des données et des sauvegardes (notamment les sauvegardes effectivement isolées) et enfin la résilience des systèmes et leur surveillance. Au passage, l'assureur communique sur les bonnes pratiques. En cas de sinistre, l'équipe interne de l'entreprise est souvent débordée : les experts externes sont donc aussi un renfort en nombre de spécialistes. Si les bonnes pratiques ont bien été respectées et que le blocage survient malgré tout, les experts vérifieront que le décryptage est possible. Frédéric Rousseau soupire : « personne n'est ravi de payer une rançon, d'autant qu'il y a souvent une fusée à deux étages, la rançon pour décrypter et la rançon pour ne pas divulguer les données récupérées par les pirates. »
Attention au faux sentiment de sécurité
Le but d'un assureur est que le sinistre soit géré dans les meilleures conditions et les meilleurs délais. Pour cela il faut que les entreprises aient anticipé les conséquences d'une cyber-attaque. Pour Frédéric Rousseau, le discours d'un assureur comme Hiscox est donc clair et sans ambiguïté : « nous allons vous accompagner pour que deveniez des experts en gestion du risque cyber. » Cela passe notamment par des outils d'évaluation en ligne et des kits pédagogiques. « Il y a quelques années, personne ne déclarait qu'il avait été infecté par un virus mais, aujourd'hui, les langues se délient et c'est vertueux pour que chacun saisisse l'ampleur du problème » relève Frédéric Rousseau.
Cela dit, certaines entreprises s'estiment sans doute plus protégées qu'elles ne le sont réellement. C'est bien sûr le cas de celles qui se reposent sur des « sauvegardes » qui n'en sont pas comme de la réplication temps réel, apte à protéger contre des incidents techniques mais en aucun cas contre des cyber-attaques. C'est aussi le cas, peut-être, d'une partie des 26 % d'entreprises qui déclarent être assurées contre les cyber-risques. Frédéric Rousseau remarque ainsi : « je crains que certaines confondent une cyber-assurance avec une clause dite 'tous risques informatiques' d'un contrat d'assurance professionnelle qui couvre en fait le bris de matériels, ce qui n'a rien à voir avec les atteintes au SI. »
Commentaire