Un regard sur demain
La cybersécurité: le défi de chaque entreprise. Quelles réponses du secteur de l'assurance?
Les chiffres en matière de cybercriminalité ont augmenté de manière exponentielle au cours de l’année écoulée. Comment le secteur envisage-t-il ce phénomène inquiétant ? Un entretien croisé avec deux spécialistes en la matière : Benoît-Laurent Yerna, Chief Risk Officer chez Ethias, et Tom Van Britsom, Manager Business Development & Innovation chez Vanbreda Risk & Benefits.
Il ressort de la dernière enquête « Global Risk Management Survey » réalisée par Aon que les entreprises considèrent aujourd’hui la cybercriminalité comme le risque le plus dangereux. La cybercriminalité a-t-elle explosé depuis la pandémie et constate-t-on une évolution au niveau du modus operandi ?
Tom Van Britsom: Nous constatons en tout cas une augmentation des types de cybercriminalité. Une professionnalisation des cybercriminels est en outre observée. Notre expérience personnelle nous apprend qu’ils deviennent de plus en plus inventifs et créatifs dans leur approche. Par ailleurs, le constat persiste que 90 % de l’ensemble des cyberincidents trouvent en fait toujours leur origine dans une action humaine : quelqu’un qui clique sur un fichier déterminé, quelqu’un qui ouvre un document, quelqu’un qui clique sur un lien. Il est plus que jamais indispensable pour les entreprises d’investir massivement dans la sensibilisation et la formation de leurs collaborateurs.
Benoît-Laurent Yerna: D'année en année nous voyons en effet que la menace de la cybercriminalité ne cesse véritablement d’augmenter. Comme le dit Tom, les criminels sont de plus en plus créatifs et professionnels. Il faut savoir qu’historiquement de nombreuses méthodes d'attaque viennent des cyberarmées, telles que celles de la Russie ou de la Chine. Ces méthodes ont ensuite été adoptées par des groupes mafieux dans le but principal de l’extorsion. Autrement dit, nous sommes très loin du teenager américain en culotte courte qui essayait de hacker le Pentagone ou la Nasa.
Le lock down et le télétravail entraînés par la pandémie ont contribué à consommer et travailler plus digital. Par la force même des choses on a intensifié l’attrait du canal via lequel les criminels peuvent s’attaquer à nos entreprises.
Les cyberincidents les plus courants sont les ransomwares et le vol d’identité. Le vol d'identité est un prérequis pour une attaque ayant un impact important, tant en termes d'image que financier.
L’offre d’assurances contre la cybercriminalité pour les particuliers est aujourd’hui limitée. Comment cela se fait-il ? Comment voyez-vous cette situation évoluer, sur le plan aussi bien de l’offre que de la couverture ?
BLY: Dans les contrats d’assurance dont on dispose contre le risque cyber, il est vraiment important de distinguer l’assurance cyber silencieuse de l’assurance cyber active. Par assurance cyber silencieuse nous entendons le risque cyber qui est couvert par des contrats IARD classiques mais dont les entreprises d'assurances (et à fortiori l’assuré) n'ont pas forcément connaissance. C'est important d'être conscient que ce qui n'est pas exclu est parfois couvert.
Pour moi il y a deux raisons principales qui font que, sur les particuliers, on est un peu moins couvert : une côté consommateur et une côté assurance. Côté consommateur, les particuliers ne sont pas toujours conscients du risque, par opposition aux entreprises. Les impacts sont parfois aussi moindres. A côté de cela, il faut que les preneurs d'assurance soient conscients de la couverture qu’ils souscrivent. Les conditions générales ne sont malheureusement pas encore toujours particulièrement limpides sur la prestation en nature et/ou sur l’indemnité financière. Ensuite, une cyberassurance n’est probablement pas non plus une priorité pour les consommateurs dans leur panier d'assurance complet, le cas échéant par rapport à une assurance incendie ou à une assurance auto. Du côté assurance, il ne faut pas oublier que le mécanisme de l'assurance repose sur l’évaluation et la mutualisation du risque pour l'établissement d'un montant de prime. Cela nécessite forcément une connaissance approfondie des données. Nous observons dans ce cadre qu’il est souvent difficile d'évaluer ou de prédire de façon fiable le risque financier qui est couvert dans le chef des particuliers. En effet, les menaces évoluent rapidement et peuvent subitement toucher beaucoup plus de monde.
Cela étant dit, ce type d’assurances est très populaire Outre-Atlantique là où le nombre d’objets connectés est très important. Cette tendance se confirme chez nous également et, le besoin d’une cyberassurance pourrait se faire de plus en plus ressentir.
Pour rendre ce produit plus attrayant, différentes pistes existent. Une des solutions pourrait être de coupler ce produit à d’autres assurances - avec des conditions générales qui sont claires - au lieu d'avoir des produits en stand alone. Cette assurance devrait couvrir au moins trois volets. Primo, la prévention, à savoir aider à sécuriser au maximum l'environnement digital dans lequel se trouve le particulier. Secundo, l’assurance avec le paiement de l’indemnisation financière due. Tertio, une composante assistance, notamment au travers de l’aide au rétablissement des données, un travail sur l'e-réputation etc.
TVB: L’offre d’assurances pour les particuliers est en effet plutôt limitée à l’heure actuelle, surtout en comparaison de l’offre qui existe depuis environ dix ans déjà pour les entreprises. Au cours des dix dernières années, l’offre de cyberassurances a d’ailleurs énormément évolué. Différents assureurs proposaient des produits sous des angles d’approche différents avant qu’un rapprochement ne soit par la suite constaté. Alors que certains assureurs proposaient une offre principalement axée sur les dommages propres, d’autres abordaient le produit sous l’angle de la responsabilité. à l’heure actuelle, il existe un produit sur le marché qui combine ces angles d’approche divergents.
En ce qui concerne le marché pour les particuliers, la toute première condition est évidemment que le client potentiel reconnaisse le cyberrisque et souhaite s’assurer contre ce risque. Cette prise de conscience fait lentement mais sûrement son chemin. Un moins grand nombre d’acteurs sont par ailleurs présents sur ce marché pour les particuliers à l’heure actuelle. Ils donnent en outre chacun un contenu différent à leurs couvertures. L’accent est actuellement mis sur les dommages propres. Je m’attends toutefois par intuition à une croissance sur ce marché, notamment par le biais d’une extension des garanties, par exemple sur le plan de l’assistance et de la responsabilité.
Cette croissance dépend bien entendu de ce que le client souhaite souscrire et de ce qu’il souhaite payer pour cette couverture. Il s’agit en d’autres termes d’un produit qui doit entrer dans les mœurs au niveau des particuliers. D’un autre côté, il revient au secteur de l’assurance de créer un produit qui correspond aux attentes du particulier. On est encore à la recherche du bon équilibre sur ce plan.
Le particulier semble encore toujours être trop peu conscient des dangers de la cybercriminalité. Le secteur de l’assurance a-t-il un rôle à jouer en matière de prévention ?
TVB: Je pense que le particulier est de plus en plus conscient des cyberrisques existants. Il y est en effet confronté par le biais de différents canaux. Non seulement par le biais de sessions de formation organisées par son employeur afin de le sensibiliser aux cyberrisques, mais aussi par le biais de sa propre expérience. Tout un chacun a en effet déjà reçu dans le cadre de sa vie privée des messages de phishing ou des messages provenant d’une fausse adresse qui ont pour but de l’inciter à effectuer l’une ou l’autre action et d’abuser de sa naïveté.
BLY:
Evidemment les assureurs ont un rôle à jouer dans la sensibilisation, la prévention et la protection du consommateur. Cela étant, les statistiques parlent d’elles-mêmes et les articles de presse se multiplient ces derniers mois relayant des incidents cyber. à mon sens, il est essentiel que le secteur des assurances réponde à un besoin des consommateurs. Par ailleurs, des campagnes de sensibilisation aux risques de phishing ont déjà été réalisées notamment par le Centre pour la cybersécurité.
Tom Van Britsom
Manager Business Development & Innovation chez Vanbreda Risk & Benefits
Outre l’amélioration de son niveau IT et l’optimalisation de son système de défense contre les cyberrisques, il est une nécessité absolue pour une entreprise de faire vérifier ses infrastructures numériques par des externes. Cela lui permet de se mettre au travail sur la base des informations cruciales fournies par ces hackers éthiques.
L’offre pour les entreprises est donc bien plus large. Ont-elles dû adapter leur profil de risque face aux cyberattaques au cours de ces dernières années ?
BLY: La différence d’offre vis-à-vis des particuliers et des entreprises s’explique par la différence de niveau de maturité et d’exposition au risque, parfois aussi pour des raisons réglementaires. C’est par exemple le cas du secteur financier et des assurances où la Banque Nationale de Belgique a émis deux circulaires sur la sécurité IT. Les contraintes en matière de GDPR et une volonté de migration vers le cloud, ont poussé les entreprises dans certains secteurs à renforcer leur assurance par rapport aux risques. Le fait de gérer d’énormes bases de données a d’une façon générale fortement impacté le risque de fuites d’information et, par conséquent de réputation, dont il faut se prémunir. Il est donc clair que les entreprises ont ajusté leur profil de risque. Elles ont beaucoup plus travaillé sur la prévention et sur l'analyse de leur potentielle faille. De plus en plus les compagnies d'assurance tiennent compte dans leurs calculs de prime et d’offre de couverture aux entreprises de l'analyse de risque et d'un screening très poussé pour connaître le niveau de maturité tant au niveau de la prévention mais aussi de capacité de réaction. Le plan de continuité d’activité est crucial dans ce cadre. A noter également le rôle des médias qui dans la conscientisation du risque cyber ont joué un rôle très important.
En termes de profil de risque, le Covid-19 a assurément changé certaines choses pour les entreprises. Les entreprises se digitalisent quoi qu’il en soit de plus en plus, mais la pandémie a encore accéléré les choses. Prenons l’exemple d’un magasin de jouets comptant dix succursales et dont les ventes en ligne représentent 50 % du chiffre d’affaires. Alors qu’il y a quelques temps - en l’absence de webshop - la mise à l’arrêt d’une succursale aurait représenté une perte de chiffre d’affaires de 10 %, la moitié du chiffre d’affaires s’évaporerait à présent en cas de cyberincident. Le profil de risque de ce magasin de jouets a en d’autres termes fortement changé. En outre, certaines entreprises se sont également consacrées à d’autres activités à la suite de la pandémie de coronavirus, ce qui contribue également à la modification de leur profil de risque.
Au début de la pandémie, de nombreux travailleurs ont travaillé sur leurs PC personnels pendant leurs jours de télétravail. Cela a-t-il entraîné un accroissement du danger de cyberattaques ?
TVB: à partir du moment où le travailleur est connecté par le biais d’une connexion vpn sécurisée, cela pose peu de problèmes, voire aucun. D’un autre côté, l’impact du télétravail est largement sous-estimé. Au bureau, les collègues se passent rapidement le message lorsqu’un mail de phishing est en circulation. En cas de télétravail, ce réflexe de partage est bien moins présent. Le contrôle social est donc plus faible en cas de télétravail que dans un environnement d’entreprise. Nous ne soulignerons jamais assez l’importance de la sensibilisation des collaborateurs en matière de criminalité numérique : leur offrir des outils pour apprendre en continu ce qu’est le phishing, pour savoir comment reconnaître le phénomène et que faire lorsqu’ils détectent une cybercriminalité potentielle. L’organisation et la structure d’une entreprise sur le plan IT ont beau être à la pointe, le facteur humain reste le maillon le plus faible en matière de cybercriminalité.
BLY: Il faut distinguer deux choses. On a tendance à l’oublier, mais en février 2020 nous avons été contraints - quasiment du jour au lendemain - de travailler à la maison. Toute une série d'entreprises étaient plus ou moins préparées avec des employés qui travaillaient déjà partiellement à la maison et qui avaient déjà une certaine habitude. N’empêche que du jour au lendemain une grande partie de l'économie a dû basculer vers un tout autre contexte. Il a fallu organiser ce basculement avec les équipes IT, tant en matière de sécurité qu’au niveau du matériel. Les entreprises n’ont donc pas toujours eu le temps non plus de former les gens par rapport au matériel et aux nouveaux outils qu'ils allaient devoir utiliser. De plus, la répartition d'une journée de travail a depuis lors complètement changé. La tendance d’une consommation digitale permanente fait qu’il est plus difficile de faire de la prévention que par rapport à un environnement où des messages passent au sein de l'entreprise de bouche à oreille. Tout comme l’a dit Tom, la formation continue en matière de prévention vis-à-vis du danger de cyberattaques est cruciale.
Combien d’entreprises ont aujourd’hui une assurance couvrant les cyberattaques ? Les PME représentent-elles une cible plus facile ? Est-ce pour une PME bien intéressant de souscrire une telle assurance ?
TVB: Au sein de Vanbreda Risk & Benefits, nous avons aujourd’hui dix ans d’expérience en matière de cyberassurance. Je pense pouvoir confirmer que le danger de cyberattaques et l’opportunité d’une assurance contre cette menace sont des thèmes qui ont déjà été abordés chez chacun de nos clients. Nous constatons à cet égard que 25 % de nos clients ont souscrit une cyberassurance. Ces contrats ont assurément déjà prouvé leur utilité : un sinistre a déjà été enregistré dans le cadre d’une cyberassurance sur quatre au cours des dix dernières années. Du point de vue de la continuité des activités de l’entreprise, il est en réalité plus que crucial que chaque entreprise souscrive une cyberassurance. Une telle assurance doit en fait devenir un concept de base pour chaque entreprise. Nous constatons une différenciation énorme en fonction du secteur d’activité. Comme Benoît-Laurent l’a déjà dit, je pense que presque tous les hôpitaux ont déjà franchi le pas, purement par prévention et purement par nécessité de protéger les données à caractère personnel dont ils disposent. Les entreprises qui disposent d’informations privées critiques et qui sont très dépendantes de la digitalisation ont à l’heure actuelle souscrit un tel contrat.
Dans le secteur des PME, nous avons vu des entreprises franchir le pas doucement mais sûrement au cours de ces dernières années, en plusieurs phases. Il y a tout d’abord eu des PME qui s’adressaient à nous après avoir été confrontées à un sinistre. Ensuite, la législation RGPD a fait prendre conscience à de nombreuses petites et moyennes entreprises de l’utilité de la protection des données. à l’heure actuelle, nous voyons chaque jour une nouvelle PME entrer dans l’histoire de la cyberassurance.
On peut lire parfois que les cybercriminels ont justement dans le collimateur ces entreprises qui disposent d’une cyberassurance. Précisément parce que la probabilité de paiement d’une « rançon » est plus importante. Cette idée empêche-t-elle les entreprises de conclure une cyberassurance ?
TVB: Je pense en fait que c’est justement l’inverse qui est vrai. Le risque de ransomware peut en effet être assuré dans le cadre d’une cyberassurance. Ce sont néanmoins justement les entreprises qui ont souscrit une cyberassurance qui peuvent faire appel à une ligne d’assistance au moment où elles sont confrontées à un cyberincident. Des experts qui s’occupent quotidiennement de tout ce qui concerne la cybersécurité interviennent alors. Ils savent quelles sont les clés de déchiffrement et les formes de hacking qui sont sur le marché et ils savent très souvent aussi comment ils doivent décrypter un certain hacking, un certain chiffrement. Les entreprises disposant d’une cyberassurance ont donc justement une énorme avance tant sur le plan de l’assistance que de la réparation par rapport à celles qui n’en disposent pas. à supposer qu’une rançon doive finalement tout de même être payée, la cyberassurance apporte alors aussi des connaissances professionnelles et une plus-value sur ce plan. Dans ce cas également, une entreprise peut s’appuyer sur les connaissances de personnes qui sont confrontées quotidiennement à des criminels face à elles. Le paiement d’une rançon est d’ailleurs la toute dernière étape.
BLY: A mon sens les cyberattaquants ne savent pas forcément quelles entreprises ont souscrit ce type de d'assurance. Je ne crois donc pas forcément que le fait d’avoir une cyberassurance puisse faire de l’une ou l’autre entreprise une cible aux yeux des malfaiteurs. De plus je rappelle quand même que normalement le paiement d'une rançon est dans beaucoup de pays illégal. Par contre, il pourrait y avoir une corrélation entre le fait que des entreprises s’épanchent dans la presse sur leur sécurité IT comme étant véritablement au top et le fait de subir une cyberattaque, les criminels voulant justement mettre à mal ce type de compagnies.
Dans ce monde numérique, une entreprise n’est jamais une entité isolée. De quelle manière les assureurs tiennent-ils compte dans leur risk management de la mesure dans laquelle les fournisseurs et/ou clients d’une entreprise donnée misent eux-mêmes sur la cybersécurité ?
BLY: Il est important de procéder à une évaluation profonde du type d’activités, de sa taille, du type et du volume des données traitées, de la structure architecturale et de la sécurité informatique d’une entreprise et de bien vérifier si - en termes informatiques - elle comprend bien la totalité de ses procédures en ce compris ses sous-traitants/ fournisseurs. Si elle cerne bien dans toutes les étapes l’interactivité des softwares informatiques. Il s’agit de bien comprendre où sont les maillons potentiellement faibles de la chaîne. En fait, cela s'apparente vraiment à une sorte d'énorme questionnaire que les compagnies d'assurance peuvent mettre en place et où elles vont cocher toute une série de cases en fonction des réponses obtenues. Et qui leur permettra de déterminer la prime.
TVB: Le risk management des assureurs à l’égard des cyberrisques a en tout cas fortement changé au cours de ces dix dernières années. Leurs connaissances et leur expérience en la matière ont eu pour conséquence que les questions qu’ils posent avant de souscrire un risque ont énormément évolué. Dans ce cadre, ils tiennent compte non seulement du profil de risque de l’entreprise à assurer, mais aussi de celui de ses fournisseurs et de ses clients. La mesure dans laquelle la continuité des activités d’une entreprise dépend de l’hygiène numérique soit de ses clients soit de ses fournisseurs est cruciale dans le cadre de l’évaluation du risque à assurer. En d’autres termes, les assureurs conseillent également de plus en plus de tenir compte, lors de l’établissement de contrats, de la mesure dans laquelle les clients et/ou fournisseurs tiennent eux-mêmes compte des cyberrisques et sont armés contre ces risques.
BLY: Dans ce cadre il est essentiel pour les compagnies d’assurances de pouvoir faire appel à une société IT qu’elle soit interne (comme pour Ethias) ou externe afin de pouvoir faire cette évaluation en amont du risque et de la structure informatique à assurer. Nous observons par ailleurs sur le marché que les compagnies s'associent de plus en plus à des partenaires ou font appel aux services de consultants pour bien évaluer le risque en amont et puis aider avec la mise en cartographie des risques. Une meilleure prévention et une meilleure gestion des risques contribueront in fine à une assurance de plus en plus démocratique d’un point de vue financier. Notre filiale Ethias Services dispose des compétences et du réseau pour organiser la prévention et la cartographie.
TVB: Tout comme un assureur incendie vérifie aujourd’hui dans quelle mesure une entreprise ou une PME dispose par exemple de portes et de matériaux ignifuges pour évaluer son risque en matière d’incendie, le cyberassureur cartographiera entièrement la sécurité informatique d’une entreprise avec l’aide de spécialistes IT.
Benoît-Laurent Yerna
Chief Risk Officer chez Ethias
Une cyberassurance n’est probablement pas une priorité pour les consommateurs dans leur panier d'assurance complet par rapport à une assurance incendie ou à une assurance auto. Du côté assurance, il ne faut pas oublier que le mécanisme repose sur l’évaluation et la mutualisation du risque pour l'établissement d'un montant de prime. Cela nécessite forcément une connaissance approfondie des données. Nous observons dans ce cadre qu’il est souvent difficile d'évaluer ou de prédire de façon fiable le risque financier qui est couvert dans le chef des particuliers. En effet, les menaces évoluent rapidement et peuvent subitement toucher beaucoup plus de monde.
Les entreprises – et en particulier les petites et moyennes – sont-elles selon vous d’une manière générale suffisamment équipées sur le plan IT pour faire face à d’éventuelles cyberattaques ? Existe-t-il une pénurie de bon profils IT sur le marché ?
BLY: Il est clair qu'il y a une forte demande d'experts en sécurité et en cyberdéfense. Nous constatons également que de plus en plus de hautes écoles ou d'universités dispensent ce type d'enseignement. Un bon dialogue entre le secteur académique et le secteur privé est dans ce cadre crucial, l’un pouvant apprendre de l’autre où se situent les besoins. Les entreprises sont confrontées à une sorte d’inflation liée à ce type de profil, qui n’est pas toujours simple à trouver. De facto cela signifie implicitement que pour les PME il est difficile de disposer en interne de ce type de profil. Et donc effectivement gravitent autour des PME toute une série de consultants qui sont là pour aider.
TVB: Je ne peux que confirmer le besoin croissant de tels profils. Nous remarquons que les entreprises font des efforts sur le plan de la cybersécurité. D’un autre côté, les hackers ne restent pas non plus les bras croisés. On pourrait parler sur ce plan d’une surenchère constante. Les entreprises doivent continuer à investir et à prêter une attention continue à leur facteur le plus faible, à savoir l’aspect humain.
Le Centre pour la cybersécurité Belgique coordonne et veille à l’application de la stratégie belge en matière de cybersécurité. Les assureurs ont-ils un rôle à jouer dans ce cadre, éventuellement sous la forme d’un partenariat public-privé ?
TVB: L’utilité d’une cyberassurance pour une entreprise et les avantages que les entreprises peuvent en tirer lorsqu’elles sont confrontées à un sinistre sont entre-temps évidents. L’utilité et l’importance d’une telle assurance pourraient aujourd’hui peut-être encore davantage être mises en évidence par les autorités. En termes d’avertissement, on observe à juste titre une attention croissante pour les cyberrisques. L’information en termes de cyberassurance reste toutefois à la traîne. Le passé récent a pourtant prouvé qu’une collaboration entre les autorités et le privé pouvait être très importante. Je pense dans ce cadre aux graves inondations qui ont eu lieu dans le courant du mois de juillet de l’année 2021.
BLY: Le Centre for Cyber Security (CCB) a principalement deux missions : la sensibilisation des citoyens dans leur ensemble et l’aide aux personnes qui sont attaquées. Ils ont mis en place toute une série de tutoriels en termes de prévention que tout le monde peut utiliser. Le CCB apparaît d’ailleurs de plus en plus dans les médias qui lui donnent un relief très important. Son rôle est selon moi complémentaire à ce que font les assureurs. A souligner dans ce cadre le rôle de la Cyber Security Coalition dont sont par ailleurs membres beaucoup de compagnies d’assurance ainsi qu’Assuralia, et qui sert entre autres de plateforme d’échange et de mise à jour quant au cyberdanger.
Les hackers éthiques ont-ils un rôle à jouer dans le cadre de la cybersécurité ?
TVB: Leur rôle est crucial. Outre l’amélioration de son niveau IT et l’optimalisation de son système de défense contre les cyberrisques, il est une nécessité absolue pour une entreprise de faire vérifier ses infrastructures numériques par des externes. Cela lui permet de se mettre au travail sur la base des informations cruciales fournies par ces hackers éthiques.
BLY: Je partage à 100 % ce que dit Tom. Le fait de travailler avec des ethical hackers permet de prendre conscience des risques que l'on encourt. Toute entreprise – grande ou petite - fera un jour l'objet d'une attaque à plus ou moins grande échelle. C’est en se préparant et en analysant à froid quelle est sa situation et sa maturité informatique qu’une entreprise pourra réagir optimalement à chaud au moment d’une attaque.