En pleine période de renouvellement des contrats, un article de L'AGEFI sonne l'alarme sur la forte hausse des tarifs des assurances contre les cyber risques pour les entreprises. Apparues il y a quelques années, elles semblent désormais devenir ingérables, dans un contexte de prolifération des attaques, au point que leur existence serait menacée.
Selon certaines estimations, les primes auraient doublé, à couverture équivalente. Entre restrictions excessives et coût prohibitif, et sans aucun recours face aux changements de conditions qui leur sont imposées, de nombreux clients abandonneraient l'idée de souscrire une garantie, ce qui entraînerait, en outre, un effet de boule de neige, en raison de la réduction correspondante de la capacité de mutualisation. En cause, les compagnies se montrent de plus en plus réticentes à assumer ce type de risque.
S'il est facile de leur reprocher leur circonspection, il faut aussi reconnaître que la situation de la cybersécurité tend à échapper à tout contrôle. Le phénomène avait commencé avant, et la crise sanitaire l'a renforcé, en isolant les collaborateurs tout en développant les usages numériques : les incidents, rançonnages largement en tête, se multiplient à un rythme accéléré, toutes les organisations étant quasiment vouées à être touchées à terme, tandis que les montants des préjudices s'avèrent souvent exorbitants.
Or les observateurs considèrent que les entreprises, notamment les PME, ont une part de responsabilité dans cette dérive, par manque de sensibilisation aux dangers auxquels elle sont exposées et à leurs conséquences. Leurs dirigeants et leurs collaborateurs ignorent encore trop fréquemment les méthodes employées par les cybercriminels afin de les piéger et négligent de prendre les précautions les plus élémentaires pour se protéger. Le sinistre se transforme alors en fatalité inévitable, donc impossible à assurer.
Voilà précisément une opportunité à approfondir : comme dans ses autres domaines d'intervention, l'industrie devrait aujourd'hui concentrer une partie de ses efforts sur la prévention. Certes, quelques acteurs concluent des partenariats avec des prestataires spécialisés, qui mettent en œuvre leurs technologies de pointe dans le but d'identifier et pallier les faiblesses des systèmes en place, en complément d'une police. Mais ces outils ne sont qu'un maillon d'une chaîne de sécurité qui passe aussi par l'humain !
Quand on sait que l'ingénierie sociale représente un des vecteurs d'infiltration les plus populaires chez les malfaiteurs et que la plupart des offensives impliquent un employé (à son insu, en général), il est temps de se pencher sur cet aspect de l'équation ! Le déploiement de contenus pédagogiques, de solutions de contrôle en temps réel (par exemple par un questionnaire de temporisation), de simulations de cyberbraquage…, de préférence sous une forme ludique, pourrait constituer un début d'approche…
En arrière-plan, il s'agit de prendre conscience que, à partir du moment où les risques franchissent les limites de l'assurabilité, c'est qu'une fraction significative des entreprises sera victime d'un incident sur une période donnée (relativement courte). On sait également que beaucoup d'entre elles ne s'en remettront jamais et succomberont. Autrement dit, le tissu économique global est menacé. Il paraît inconcevable pour le secteur de détourner les yeux, sans chercher des solutions aux sources du problème.