Quelles sont les grandes menaces informatiques pour vos clients ?
On voit bien que les banques sont des cibles attractives pour les cybercriminels – et les assureurs peuvent être touchés par ricochet, atteints à travers leur propre portefeuille clients s’ils leur fournissent une assurance cyber
L’an dernier, on a enregistré une multiplication des ransomwares et des arnaques au président
Elles ont toutes deux explosé au cours des derniers mois. Le nombre des ransomwares, ou rançongiciels, a été multiplié par trois en un an. Le nombre des phishings, arnaques au président ou ingénierie sociale, a lui aussi triplé. Ce sont les principaux moyens utilisés pour pénétrer dans un système d’information. Quand on analyse les causes des sinistres cyber, on constate que le facteur humain est en jeu dans deux tiers des attaques qui aboutissent. Globalement, on rejoint là toutes les problématiques de prévention. Ce qu’on peut mettre en place pour essayer de limiter ce genre d’attaques ne se limite pas au « simple » travail des informaticiens, qui vont s’efforcer de protéger le système d’information. Cela passe aussi, en grande partie, par la formation, par l’éducation au risque des collaborateurs de l’entreprise, afin de s’assurer qu’ils sont bien sensibilisés et qu’ils ne vont pas tomber dans un piège.
Le facteur humain est en cause dans deux tiers des attaques. Quid du tiers restant ?
Ce sont desinterruptions de service pures et dures, qui relèvent de failles de sécurité de différentes sortes, qui vont permettre de pénétrer dans le système d’information sans que, pratiquement, l’humain intervienne. C’est, par exemple, tout ce qui touche aux vulnérabilités « jour zéro ». Quand on identifie une vulnérabilité, il faut le publier quelque part, pour que les entreprises se mettent à jour et referment la faille. Mais le fait de publier, c’est comme dresser de grands placards indiquant « Attention, ici, c’est ouvert ! » Quand ce genre d’incident intervient, c’est alors une course de vitesse contre la communauté des hackers qui vont essayer d’identifier et d’utiliser la faille qui a fait l’objet de la publication – comment détecter les entreprises vulnérables et profiter de la faille pour lancer un ransomware, inoculer un virus, etc. De l’autre côté, comme les entreprises ne se mettent pas forcément à jour instantanément, il peut se passer quelques jours avant qu’elles réagissent, ouvrant ainsi une fenêtre par laquelle les hackers peuvent s’engouffrer. Dans un cas de figure comme celui-là, chez Guidewire, la division cyber travaille à « rétro-ingénierer » les failles et à détecter les entreprises impactées, pour permettre aux assureurs et à nos clients d’avoir une vision des entreprises vulnérables, pour réagir le plus vite possible, prioriser l’effort de prévention.
Comment les aidez-vous ?
Nous travaillons principalement dans deux directions. Pour ce qui concerne la sécurité des systèmes de nos clients eux-mêmes, nous avons une offre « software as a service » (SAAS), à travers laquelle Guidewire gère une part importante de leur système d’information. Évidemment, il faut que nous atteignions le niveau de sécurité attendu par nos clients en bonne intégration avec le reste de leur écosystème informatique. Et puis il y a l’offre Cyence, qui porte sur la stricte analyse du risque cyber. Nous collectons énormément de données, les analysons, pour identifier un certain nombre de facteurs de risque et être capable de dire à une entreprise quel est son niveau de risque. Cela passe par des éléments techniques (détecter les vulnérabilités, les systèmes utilisés…) et par le facteur humain, notamment le niveau d’engagement des salariés vis-à-vis de leur entreprise, de leur direction, du terrain, etc. Si les employés nous semblent peu attachés à l’entreprise, le risque qu’ils soient négligents augmente.
C'est une évaluation du risque cyber…
Exactement. On peut fournir cette vision entreprise par entreprise ou l’évaluer pour l’ensemble du portefeuille. En France, les services financiers sont les sixièmes plus exposés, derrière l’édition, le logiciel, la santé, la grande distribution et le service aux entreprises.
La multiplication des ransomwares pose la question du paiement des rançons. Que faut-il faire en la matière ?
Le niveau de professionnalisation de la cybercriminalité est très élevé, et ce n’est pas près de changer avec le développement du « malware as a service » (MAAS)
Vous parlez des réponses non appropriées des États ou des grands comptes. De quoi s’agit-il ?
Quand il y a sinistre, de manière générale, le dispositif mis en place n’est pas toujours clair et il n’y a pas toujours le partage d’informations requis, qui permettrait d’améliorer la prévention sur le marché. Je ne suis pas en train de dire que rien n’est fait. En France, l’ANSSI joue un rôle clé. Mais il y a des situations dans lesquelles les assureurs, par exemple, ne peuvent pas utiliser ou communiquer toutes les informations techniques, détaillées, liées à un sinistre cyber, qui sont considérées comme confidentielles. Cela nuit à la prévention, qui est globalement, aujourd’hui, l’un des maillons faibles.
C’est ce qui explique que l’assurance cyber traverse une période difficile. Les coûts ont explosé, en liaison avec la montée du niveau de risque, et les perspectives ne sont pas bonnes : on ne se dit pas que le niveau de risque va baisser d’un coup de baguette magique dans les mois qui viennent. Pour un assureur, essayer d’assurer des portes ouvertes, c’est peine perdue. C’est injouable.
Quelles sont les précautions à prendre dans l’année qui vient, pour les assurances, les banques et leurs clients ?
Il faut vraiment mettre l’accent sur la prévention, la prévention et encore la prévention, c’est essentiel. La démarche doit être continue et impliquer les collaborateurs. Et bien sûr, il est indispensable de mettre à jour son parc informatique.
Propos recueillis par Stéphanie Chaptal.
