Que ce soit en intégralité, un jour par semaine ou depuis une destination de rêve (la maison en Normandie de tata Germaine ou un hôtel en Grèce) le télétravail est un nouveau paradigme de l’organisation du travail, du management des équipes et même du système d’information. Qu’en est-il de la gestion du risque, en particulier du risque Cyber associé à ces nouvelles pratiques ? Quel est précisément le rôle de l’assurance Cyber dans ce contexte ?
Télétravail et Cyber sécurité
Encensé par certains, décrié par d’autres, le télétravail est devenu une réalité pour bon nombre de salariés. Télétravailler (risquons le truisme) signifie travailler à distance.
Cela implique donc l’utilisation de matériel et de services qui ne sont pas intégralement sous le contrôle de votre entreprise : le WIFI, téléphone mobile, imprimante, parfois même l’ordinateur portable, … afin d’accéder à des systèmes et des données sensibles.
Popularisé sous l’acronyme BYOD (« Bring Your Own Device » ou en français AVEC « Apportez Votre Equipement personnel de Communication »), cette tendance est apparue avec les premiers smartphones, et permettait aux heureux possesseurs de matériel mobile dernier cri de ne pas « régresser technologiquement » avec le matériel fourni par leurs entreprises.
Les conséquences étaient et restent toujours les mêmes :
- Intégrité du terminal mobile (mises à jour système effectuées, antivirus présent et à jour, restriction d’installation de logiciels…)
- Sécurité des échanges de données (WIFI sécurisé, VPN, …)
- Usage multiple du terminal (dont le fameux « papa/maman prête-moi ton téléphone »)
Ai-je besoin d’une assurance Cyber ?
Mettons-nous un instant dans la tête d’un professionnel du piratage informatique.
Comme n’importe quel professionnel, il va rechercher à maximiser son gain potentiel tout en minimisant les efforts à fournir. Pour cela 2 grandes familles d’approches sont à sa disposition : le ciblage et l’opportunisme.
Le cas des attaques Cyber ciblées
Si vous êtes une cible vraiment intéressante (industriel, politique, recherche et développement, …), alors vous aurez droit au ciblage.
Une approche à base de recherche d’information patiente, d’ingénierie sociale saupoudrée de phishing, vos proches une fois identifiés pourront aussi être ciblés…
De manière générale, votre employeur sait aussi que vous êtes une cible intéressante et vous avez à disposition tout le matériel et la formation adéquate pour vous protéger (ou plutôt ne pas mettre à risque le patrimoine informationnel de votre employeur).
Au niveau matériel, PC et téléphone mobile « durcis » ou dit autrement sous contrôle total de votre service informatique : mise à jour en temps réel, limite à l’installation de logiciels tiers, …
Au niveau des connexions : utilisation d’un simple SMS pour une double authentification, de cartes ou d’outils dédiés pour la distribution de mots de passe temporaires. Au niveau communication, il faudra toujours utiliser le VPN pour accéder aux ressources distantes …ETC.
Pour les plus chanceux, vous aurez droit à des formations, des simulations d’attaque par phishing, des audits, …
Certaines cibles intéressantes, notamment dans le secteur de la santé, n’ont pas encore totalement pris la mesure de l’intérêt qu’elles suscitent … ou alors la construction de leurs défenses n’est pas (encore) à la hauteur de la motivation des attaquants.
Les attaques Cyber par opportunisme
Si vous pensez ne pas être une cible intéressante pour un attaquant organisé, éventuellement piloté par un Etat, vous avez probablement raison. Aucun pirate, ne produira un effort important pour pénétrer le système d’information du café du coin ou du mécanicien du village.
Pourtant il existe une approche dite opportuniste, et nous allons en parler maintenant.
Rappelons une caractéristique fondamentale du numérique : la facilité de duplication et d’automatisation.
Si vous êtes un naufrageur et que vous attirez les victimes potentielles en lançant des bouteilles à la mer ou en faisant un grand feu : la présence de matières premières (bois, bouteilles, papier,…) pourra vite devenir une limite à votre petite affaire.
Un pirate moderne va pouvoir lancer des recherches de cibles potentielles grâce à des logiciels de scan qui travaillent vite et pour un coût d’utilisation très réduit. Ces logiciels de scan vont explorer des milliers d’adresses IP, de sites Internet, regarder un peu partout, sans cible précise, mais pas sans objectifs : l’outil va rechercher une liste précise de failles, de portes mal fermées, de clés cachées sous le pot de fleur, …
Usons à nouveau de métaphore, pas besoin de rentrer dans une propriété pour se rendre compte que les propriétaires sont partis en vacances et qu’ils ont oublié de fermer une fenêtre à l’étage (dommage, car seules les fenêtres du rez-de-chaussée sont protégées par des barreaux). C’est le rôle du logiciel de scan, lister les failles, les classer par famille et donner à l’attaquant un plan d’action de piratage :
- La mise à jour XY n’est pas effectuée : il existe alors une ou plusieurs failles avec le logiciel malicieux qui saura les exploiter.
- Le serveur de messagerie email n’est pas correctement configuré ? Il est alors possible de faire de l’usurpation d’identité (ou spoofing) et faire une attaque par ingénierie sociale.
Restons sur ce dernier exemple quelques lignes. Le potentiel attaquant sait qu’il lui sera facile d’utiliser votre nom de domaine pour envoyer des emails (le logiciel de scan l’a renseigné), un rapide coup d’œil sur votre activité, chiffre d’affaires, quelques informations laissées en ligne sur vos clients ou vos salariés ? Une première campagne de phishing au sein de votre entreprise permettra par exemple :
- D’installer un rançongiciel dans vos systèmes (l’attaquant neutralise vos données sensibles et demande une rançon pour les restituer)
- Collecter suffisamment d’informations pour lancer une campagne d’envoi de factures à vos clients avec un nouveau RIB …
- Etc …
Pas de firewall ou de reverse proxy ? pas de protection contre les attaques en DDoS ou en force brute ? Ce sont des centaines de possibilités laissées aux attaquants potentiels afin de visiter, neutraliser, défigurer, vos sites Internet et systèmes d’information.
Les mesures à adopter
Face au risque d’attaque informatique, quelle que soit sa nature, il existe trois mesures possibles : l’éviter, le réduire et le partager.
Éviter le risque Cyber
Eviter le risque Cyber, cela signifierait ne pas digitaliser son activité, ne pas utiliser d’emails, ne pas utiliser de smartphone,… Le nombre d’activités pour lesquelles le risque Cyber est supérieur aux opportunités offertes par le digital est très limité (probablement proche de 0 En Occident), et devrait continuer à se réduire dans le temps. Le télétravail sans digital … encore moins fréquent
Puisque dans la majorité des activités commerciales il n’est pas possible d’éviter le risque Cyber explorons comment le réduire et le partager.
Une assurance Cyber pour partager le risque
La façon la plus simple de partager le risque, est de faire appel à une assurance: « La contribution de beaucoup à la mauvaise fortune de quelques-uns ». Selon certaines conditions que l’on va détailler plus loin, il est possible pour une entreprise d’assurer son activité contre les attaques informatiques. Si un sinistre intervient (fuite de données, perte de données, pertes d’exploitations, …) l’assurance Cyber va alors financer les conséquences (garanties) de l’attaque : depuis l’intervention d’experts, la communication de crise, les éventuelles amendes CNIL, etc … jusqu’à la réparation des systèmes endommagés.
Contreparties pour une assurance Cyber
En contrepartie d’accepter de garantir le risque, l’assureur ou plus souvent le néo assureur va demander certaines conditions. Celle qui vient à l’esprit en premier, est bien sur la prime d’assurance … et bien ce n’est pas le cas. En tout premier lieu l’assurance va mesurer votre maturité en matière de sécurité des systèmes d’information : sauvegardes (journalières ? site distant ?), antivirus, politique de mise à jour des logiciels, … L’assurance va aussi regarder le secteur d’activité : on peut imaginer qu’une ONG qui défend la liberté de la presse en Russie et un chocolatier qui vend en ligne n’ont pas le même profil de risque. Il semble normal de prendre quelques garanties avant de couvrir un risque aussi protéiforme que complexe.
Réduction du risque et assurance Cyber
La réduction du risque via l’assurance Cyber va comprendre toutes les mesures amont, les mesures de monitoring et l’existence d’une organisation pour répondre à une crise. Quelques exemples de mesures amont sont l’installation d’antivirus, des sauvegardes, des contrôles d’accès aux systèmes, des règles sur les mots de passe, de l’authentification à multiples facteurs, etc… mais aussi de la formation, de la sensibilisation et de la communication auprès des utilisateurs. Un post-it collé sous un clavier ou un collaborateur trop bavard au téléphone peuvent ouvrir des brèches dans le meilleur des systèmes. Le principe du monitoring est de surveiller en temps réel ce qui se passe sur vos réseaux : tentatives d’attaques, comportements louches, flux de données sortant trop important …
Partager le risque Cyber avec son assureur
Si réduire ou atténuer le risque est la première étape indispensable à toute stratégie de protection en Cybersécurité, partager le risque Cyber est l’étape suivante. Si on le compare au risque maritime qui est couvert par les assureurs depuis plus de 5 siècles, le risque Cyber est beaucoup plus récent. Il est moins maitrisé par les assureurs qui néanmoins multiplient les produits et les offres à destination des entreprises de toutes tailles.
Les acteurs les plus avancés sur ce segment ont trouvé une martingale qui permet à la fois de partager et réduire le risque. L’assureur se positionne en co-acteur de votre sécurité : évaluation initiale, formation, monitoring, outils de sensibilisation (comme un générateur de fausses campagnes de phishing pour évaluer les réactions des collaborateurs face à une attaque) mais aussi gestion de crise et interventions techniques (nettoyage, rétablissement des systèmes, etc …).
C’est une approche gagnant gagnant, aucun des acteurs, assuré ou assureur n’a envie de subir un sinistre Cyber, et chacun est acteur de la réussite de l’autre. C’est aussi une approche de la vente d’assurance : un service qui apporte de la valeur en continu, pas uniquement un échange financier qui arrive dans 2 situations : la collecte de la prime annuelle et le remboursement d’un sinistre.
L’assurance Cyber mais pas que !
Face à un risque aussi complexe, les solutions qui feront la différence :
- Contiendront de l’assurance Cyber, des services et des outils
- Sauront agréger les assurés sous la forme d’une communauté d’intérêts (dont celui de ne pas se faire pirater)
Ce sera la seule façon pour permettre aux acteurs de l’assurance de continuer à garantir le risque Cyber pour un coût accessible à la majorité des entreprises.