TECHNOPHILE

S’assurer contre la criminalité numérique

Les attaques informatiques ciblant les entreprises sont toujours plus fréquentes. La plupart des compagnies d’assurance proposent désormais des couvertures spécifiques contre les sinistres numériques.

En 2017, plus d’un tiers des PME suisses ont été exposées à des intrusions informatiques, selon un sondage de l’institut GFS-Zurich. Paradoxalement, plus de la moitié des entreprises se considèrent pourtant comme «bien » à «très bien» protégées. Seuls 10% des directeurs de petites et moyennes entreprises se sentent menacés par une possible interruption d’exploitation causée par une attaque informatique.

Malgré ce sentiment de sécurité répandu, les ressources engagées demeurent insuffisantes. Certes, selon ce même rapport, près des deux tiers des sondés déclarent être entièrement équipés des protections de base, comme des anti-malwares, des pare-feu, des processus de gestion des sauvegardes de backup. Mais seule une entreprise sur cinq a mis en place des systèmes de détection en cas de cyberattaques graves. Des résultats préoccupants selon les auteurs de l’étude.

Marc Schaefer, expert en cybersécurité et professeur à la Haute-Ecole Arc Ingénierie à Neuchâtel, estime que les PME sont mieux protégées contre les attaques non-ciblées comme les virus et le phishing. En revanche, elles restent largement démunies face aux attaques ciblées, par exemple via le social engineering, voire totalement impuissantes face à des attaques par déni distribué de service (voir lexique).

Primes dès 300 francs

Pour pallier ces insuffisances en matière de cybersécurité, de nombreuses compagnies d’assurances fournissent désormais des prestations de couverture numérique. Les groupes Zurich, Allianz, Helvetia, La Mobilière, Axa et, dernièrement, La Bâloise, se sont positionnés sur ce secteur. Leurs offres proposent notamment des prestations contre les sinistres résultant d’actes criminels, mais également contre les dommages liés à une négligence ou un acte intentionnel des collaborateurs.

En souscrivant une telle couverture numérique, les clients bénéficient de réparations en cas de perte, de restauration ou d’endommagement des données. Ils perçoivent aussi des indemnités en cas de perte de revenus en cas d’interruption de l’exploitation et/ou de chantage ainsi qu’en cas de réparation de programmes d’utilisateurs et de systèmes d’exploitation. La société Axa est celle qui se montre la plus précise en évoquant une couverture pour des dommages propres et des dommages de responsabilité civile jusqu’à 5 millions de francs par an.

En matière de primes, le calcul se fait, entre autres, en fonction des prestations demandées et de la taille des entreprises. En sollicitant La Mobilière, une «très petite» entreprise devra s’acquitter d’une prime de départ se chiffrant à «un peu plus de 300 francs» annuels. Du côté de Zurich, elles se situent entre 450 et 5000 francs par année. Chez Axa, la prime moyenne pour une petite entreprise est d’environ 400 francs par an.

Marché au fort potentiel

 Pour l’heure, les cyberassurances constituent un marché de niche en Suisse. Selon une étude d’Allianz, seuls 12% des dirigeants de PME interrogés ont à ce jour opté pour une cyber-couverture spécifique. Aux Etats-Unis, 27% des PME et plus de 60% des grandes companies sont déjà couvertes, selon un sondage du groupe Argo. «La demande est en nette progression depuis 2016. Des cyberattaques de grande envergure comme WannaCry ou Petya/NotPetya contribuent à sensibiliser le grand public, précise Anna Ehrensperger, porte-parole du groupe Axa. Plusieurs milliers de clients ont déjà souscrit une couverture numérique à ce jour.» Concernant la taille du marché, la société estime que le volume actuel des primes est compris entre 20 et 50 millions de francs. «Nous partons du principe qu’à moyen terme, la cyberassurance fera partie de la couverture standard d’une entreprise.»

Toutefois, une assurance contre la cybercriminalité ne garantit pas une protection totale, comme l’explique Marc Schaefer. «Malheureusement, les risques ne peuvent pas toujours être réduits par l’unique adoption de systèmes de détection d’intrusion, de procédures internes appropriées ou par le transfert du risque à un prestataire externe comme une assurance. C’est pourquoi, il faut toujours rester vigilant et en alerte.»

_______

Lexique des cyberattaques

Pour optimiser la sécurité de son parc informatique, il est utile de connaître les cyberattaques les plus courantes.

Attaque DDoS (pour Distributed Denial-of-Service attack): Cette « attaque par déni de service distribué » est une méthode consistant à inonder la victime de requêtes envoyées simultanément par de nombreux systèmes. Elle tire ainsi profit des limites d’un réseau, comme l’infrastructure qui supporte le site internet d’une entreprise. Les pirates informatiques, en surchargeant la capacité du site, bloquent son fonctionnement. Ils peuvent exiger de l’argent pour faire cesser l’agression.

Social Engineering: Ce type d’attaque reposant sur la subversion psychologique ne nécessite aucun programme malveillant. Via des appels téléphoniques ou des emails ciblés, les escrocs exploitent la serviabilité, la bonne foi ou l’insécurité des collaborateurs ou dirigeants d’entreprises. Le but? Accéder à des données confidentielles ou conduire la victime à effectuer un versement d’argent sur un compte à l’étranger.

Phishing: Via l’hameçonnage, des pirates tentent d’accéder aux données confidentielles d’utilisateurs internet. Ils envoient ainsi des courriels aux futures victimes avec des adresses d’expéditeur falsifiées. Les pirates jouent alors sur la crédulité ou la serviabilité de leurs proies pour dérober des informations concernant les comptes de soumissionnaires de ventes aux enchères en ligne ou des données d’accès à l’e-banking.

Spoofing: En usurpant l’adresse IP d’un autre ordinateur, le hacker se fait passer pour quelqu’un d’autre dans le but de contourner le système de pare-feu et entrer dans le réseau interne d’une entreprise et commettre différents délits (utilisation d’adresses e-mails internes, envois de virus par e-mail, etc.).

_______

Une version de cet article réalisé par LargeNetwork est parue dans Entreprise Romande.