Les entreprises sont de plus en plus souvent victimes de cyberattaques. Ces crimes ne sont pas seulement coûteux pour celles qui les subissent, ils peuvent conduire à mettre leur existence même en danger et provoquer d'importantes externalités pour des tiers. Quelles solutions? Certaines sont techniques, avec l'essor de la cybersécurité. D'autres sont culturelles, avec le partage d'information. Et il y a enfin les assurances.

En juillet 2013, la Fédération internationale des bourses de valeurs rapportait que sur 46 places boursières étudiées, la moitié avait fait l’objet d’attaques par des pirates informatiques. La même année, dans un article du Financial Times, la Depository Trust and Clearing Corporation, qui traite de grandes opérations sur titres pour les marchés de capitaux américains, décrivait la cybercriminalité comme « sans doute la principale menace systémique à laquelle se trouvaient confrontés les marchés financiers mondiaux et les infrastructures qui leur sont liées ».

Les attaques par des pirates informatiques ne se limitent pas au secteur financier. De nombreuses entreprises, quels que soient leur taille et leur secteur d’activité, en sont victimes. Selon le IdentityTheftResourceCenter, un groupe de recherche et d’enseignement à but non lucratif qui aide les victimes de la cybercriminalité, au moins 441 entreprises américaines, y compris des agences gouvernementales, ont signalé des attaques importantes sur leurs réseaux informatiques au cours des trois premiers trimestres de l’année 2013. Ce chiffre sous-estime probablement l’ampleur réelle du phénomène. Michael Levy, en charge des délits informatiques au bureau du procureur des États-Unis pour le district Est de la Pennsylvanie, le constate : « Souvent, les entreprises ne savent pas qu’elles ont été victimes d’attaques. Plus grave, elles se montrent réticentes à rapporter un problème », craignant de nuire à leur réputation ou de perdre la confiance de leurs actionnaires.

businesscrimeLe fait que les entreprises soient de plus en plus interconnectées et dépendantes de la technologie contribue à renforcer les risques. Selon une étude sur le coût de la cybercriminalité publiée par le Ponemon Institute, institut d’enquête indépendant, les entreprises américaines ont subi en moyenne, en 2012, 102 attaques par des pirates informatiques réussies par semaine, soit plus du double du total enregistré en 2010. Les coûts liés à la cybercriminalité ont augmenté de près de 40% par rapport à 2010 et atteignent un montant annuel moyen de 8,9 millions de dollars pour les entreprises américaines de l’échantillon de référence. La même étude souligne que 78% de ces coûts sont liés à un code malveillant, un déni de service, des appareils volés ou détournés, du personnel mal intentionné. Dans un post publié en mars 2012 dans Future of Business, PA Consulting, cabinet de conseil spécialisé dans la gestion, la technologie et l’innovation, estimait que « près de 80% de la valeur d’une entreprise est exposé dans le cyberespace » et qu’une « attaque de pointe coûte à la victime plus de 150 millions de dollars, avec pour conséquence, en moyenne, 12% de perte de capitalisation consécutive ».

Office of the Attorney General State of Mississippi
Source: Office of the Attorney General State of Mississippi

De plus, les cybercriminels disposent de moyens de plus en plus sophistiqués… et abordables, en raison de la forte diminution des coûts des équipements ces dernières années. Une nouvelle génération de cybercriminels, souvent basés dans des pays émergents, met en place des attaques complexes qui défient les systèmes de sécurité les plus perfectionnés. Matt Hartley, directeur de iSIGHT Partners, une société de conseil spécialisée, remarque que « les cyberagresseurs sont de plus en plus pointus. Les moyens de nuire sont de plus en plus innovants et bénéficient aussi des progrès en matière d’expertise ». Parmi les exemples récents, il évoque le ver Stuxnet mais aussi les attaques contre les industries du gaz et du pétrole, comme celle de la base de données de la compagnie pétrolière saoudienne Aramco en 2012. Lors de cette attaque, l’une des plus destructrices à avoir visé une même entreprise, un groupe de pirates informatiques baptisé « La lame tranchante de la justice » a réussi à arrêter 30 000 ordinateurs et à effacer toutes leurs données.

Pour une entreprise, les dommages engendrés par la cyberguerre peuvent aller bien au-delà de l’interruption d’activité et de la destruction de données stratégiques. Ils peuvent conduire à l’espionnage cybernétique, la perte de la propriété intellectuelle, le vol d’identité et de données sensibles, mais aussi à des pertes affectant des tiers, comme les clients. On peut se demander à ce propos quelles seront les conséquences réelles de la cyberattaque du site de E-Commerce lancé par LivingSocial, survenue en avril 2013 et portant sur les données de plus de 50 millions de clients. Les entreprises peuvent souffrir non seulement de pertes directes, mais aussi des pertes indirectes : marque, réputation… Selon la juridiction dont elles dépendent, elles « peuvent également être responsables d’externalités négatives qu’elles n’ont pas forcément causées directement et de l’absence de conformité à une réglementation plus en plus sévère en cas d’incidents impliquant des tiers », note Bradley Gow, de la compagnie d’assurances spécialisée Endurance.

Les entreprises qui sont les plus conscientes de la menace croissante de la cyberguerre, en particulier celles qui ont une dimension internationale et celles des secteurs financiers et énergétiques, augmentent les budgets qu’elles consacrent à la cybersécurité et à la protection. Il s’agit aujourd’hui de passer d’une approche réactive à une approche proactive et d’adopter des stratégies de « sécurité intelligente ». La cybersécurité exige de comprendre les menaces cybernétiques dont une entreprise peut faire l’objet et d’agir sur ces menaces. Cependant, même dans les meilleures entreprises, la cybersécurité demeure un élément isolé, rarement associé aux autres domaines stratégiques. Selon Hartley, « face aux menaces, les entreprises doivent passer à une organisation de sécurité unifiée, liant technologie, sécurité et renseignement. Les équipes en charge de la sécurité et celles en charge de la technologie doivent être connectées et demeurer en communication permanente avec celles chargées de la direction des opérations, du marketing, des finances, de la stratégie, c’est-à-dire tous les échelons, jusqu’au directeur et au conseil d’administration. »

Partager l’information
Si une importante cybersécurité décourage les attaques opportunistes, elle n’empêche pas le risque d’être victime d’une attaque ciblée. Il existe différentes stratégies pour minimiser la fréquence et l’impact de ce type d’attaques. Les grandes banques américaines ont créé en 1999 le Financial Services-Information Sharing and Analysis Center (FS-ISAC), un organisme destiné à centraliser les informations sur les attaques dont elles ont été l’objet et la manière dont elles ont pu réparer les brèches dans leur système. L’idée ? Partager leur expérience et empêcher que d’autres membres du groupe soient victimes des mêmes problèmes. D’abord réticentes à partager des informations sensibles, les grandes institutions financières ont compris l’intérêt, à moyen et à long terme, de ces pratiques qui contribuent à réduire la fréquence de leurs pertes. L’institutionnalisation des moyens de limiter les dommages des attaques par des pirates informatiques part du principe que les plates-formes informatiques de toutes les entreprises sont vulnérables, quel que soit le niveau de sophistication de leur politique de cybersécurité.

Hartley évoque une autre façon dont les entreprises, en particulier celles des secteurs technologiques, essaient actuellement de faire face aux menaces. Facebook dispose par exemple d’un système de chapeau blanc qui encourage les cyberchercheurs à révéler les failles de sécurité qu’ils découvrent dans son fonctionnement. Ils sont payés un minimum de 500 dollars pour chaque problème signalé et il n’y a pas de limite à l’indemnisation. Facebook recueille ainsi des données relatives aux lacunes de sa plate-forme avant qu’elles ne puissent être exploitées par des individus malintentionnés. Cependant, tous les cyberchercheurs ne sont pas motivés par l’argent, et aucune somme n’aurait sans doute empêché Julian Assange de créer Wikileaks, ni Edward Snowden de divulguer des informations classées top secret. De plus, comme le suggère les pays d’origine des attaques par des pirates informatiques – un grand nombre proviennent de Chine, du Moyen-Orient, de la CEI – les motifs politiques sont de plus en plus répandus.

Même les entreprises qui investissent le plus dans la cybersécurité demeurent vulnérables… Il semblerait de ce fait raisonnable d’envisager une approche du cyberisque comparable à celles que les entreprises appliquent aux autres risques auxquelles elles sont confrontées : l’assurance. Mais ce n’est pas le cas. Alors que presque toutes les entreprises américaines sont assurées contre les catastrophes naturelles et les attaques terroristes (risque couvert par le Terrorism Insurance Act de 2002), seules quelques unes le sont contre les attaques par des pirates informatiques dans le cadre de leurs polices générales d’assurances. Comme le note Levy, « si une entreprise n’a pas le sentiment qu’elle peut courir un risque, elle ne le prend pas en compte ». Et pourtant, le préjudice économique résultant d’attaques par des pirates informatiques peut être aussi important que celui subi après une catastrophe naturelle, et l’impuissance des entreprises face aux cybercriminels est comparable à celle qu’elles éprouvent face à des terroristes.

Selon Gow, « les cyberassurances sont apparues dans les années 1990 lorsque les entreprises de la bulle internet qui voulaient être cotées en bourse ont dû expliquer aux investisseurs potentiels comment elles entendaient lutter contre les virus et les différentes menaces ». De nouvelles réglementations en matière de confidentialité ont appuyé la phase d’expansion initiale des cyberassurances que les entreprises utilisaient pour se couvrir lors d’un éventuel manquement aux exigences légales en cas de perte de données à caractère personnel. Néanmoins, comme l’a souligné Tyler Moore, professeur de sciences informatiques et d’ingénierie à l’université Southern Methodist, au cours d’un atelier mené en novembre 2012 auprès du Department of Homeland Security (ministère de la Sécurité intérieure), « le marché de la cyberassurance est encore limité et ne répond pas aux attentes du public ». Les entreprises, qui n’ont généralement pas conscience des risques auxquelles elles sont exposées dans ce domaine, se montrent réticentes à payer une prime d’assurance supplémentaire. Cependant, il est simpliste de justifier le sous-développement du marché de la cyberassurance par le manque de demande. Si les compagnies d’assurances avaient trouvé un intérêt financier à développer cette activité, elles auraient su sensibiliser leur clientèle et créer un besoin en la matière.

Les difficultés à quantifier le risque
Jean Lemaire, professeur de science actuarielle à Wharton, explique pourquoi la cyberassurance peut sembler être un marché peu lucratif pour les assureurs traditionnels : « Contrairement aux risques de catastrophes naturelles, les risques cybernétiques ne sont pas indépendants et ils évoluent rapidement. Ces deux particularités, conjuguées à l’absence de données, font qu’il est difficile pour les compagnies d’assurance de quantifier le risque et la taille des dommages, paramètres indispensables pour calculer les primes. » En outre, les pertes potentielles liées une cyberattaque varient selon le domaine et le modèle d’une entreprise, son positionnement et sa réputation, ses liens avec certaines causes et certaines valeurs.

Moore note que, après une première phase de développement simultanée à l’émergence la bulle Internet, la croissance du marché de la cyberassurance s’est trouvée freinée par les craintes du « bug de l’an 2000 » et les attaques de 9/11, dont les compagnies d’assurance n’avaient pas mesuré l’ampleur. Les primes ont augmenté et les assureurs ont commencé à supprimer la couverture des risques cybernétiques de leurs polices générales.

Gow ajoute que les prestataires limitent généralement leur exposition à un seul compte pour 10-20 millions de dollars. Bien que les entreprises souscrivent souvent des polices auprès de plusieurs compagnies, cette stratégie ne permet de réduire que marginalement leur exposition aux risques cybernétiques. En outre, en cas de dommages, elles n’arrivent pas à se faire indemniser dans le cadre de leurs assurances générales, lesquelles excluent souvent explicitement les cyberincidents. Gow évoque ainsi le différend juridique entre Zurich Insurance et Sony, qui a finalement été tranché en faveur de l’assureur en 2011.

« La cyberassurance est aujourd’hui un marché spécialisé, avec un type de police souscrit séparément, qui représente environ 1,3 milliards de dollars de primes », note Gow. « Relativement faible par rapport à son potentiel, ce marché est parmi les segments les plus dynamiques du secteur des assurances et il est extrêmement réglementé, notamment en ce qui concerne la confidentialité. »

Les gouvernements peuvent jouer un rôle majeur à la fois dans la lutte contre la cybercriminalité et dans le développement de la cyberassurance. En 2011, le gouvernement britannique a pris les devants en consacrant près d’un milliard de dollars au renforcement de la défense des systèmes d’information ; une unité d’enquête sur la cybercriminalité et une plate-forme destinée à favoriser les échanges d’informations entre les organisations ont ainsi été créées. Actuellement, on débat au Royaume-Uni des incitations fiscales et des nouvelles réglementations favorisant la cyberassurance. Son développement aurait pour conséquence non seulement de diminuer l’exposition des entreprises aux attaques informatiques, mais aussi d’accroître la protection de pratiquement tous les citoyens face à la cybercriminalité. Cette assurance pourrait entraîner un cercle vertueux avec, pour conséquence, des entreprises mieux protégés contre les attaques opportunistes. Comme le souligne Gow, « un assureur requiert d’une entreprise un minimum en matière de politique de sécurité avant de s’engager auprès d’elle », et les compagnies d’assurance sont susceptibles de diminuer les primes des entreprises qui vont au-delà ces exigences de base.

Le gouvernement américain envisage aussi de plus en plus la cybersécurité comme une question majeure qui exige son intervention. Tout en surveillant étroitement le niveau de protection des infrastructures sensibles, le président Barack Obama a signé, en février 2013, un décret élargissant l’accès du secteur privé aux informations concernant les menaces pouvant viser l’État et enjoignant les agences gouvernementales à créer un ensemble de normes. Levy estime que le gouvernement américain pourrait également envisager « la création d’une agence collectant les informations relatives à la cybercriminalité, financée par le biais de droits d’inscription minimaux » – autrement dit, une extension du système FS- ISAC au-delà du secteur financier. « Cette agence analyserait les logiciels malveillants, partagerait ses résultats et proposerait des éléments de réponse à ses abonnés, tout en préservant l’anonymat de l’entreprise à l’origine d’une information », ajoute Levy. Les données actuarielles recueillies de cette manière seraient également une ressource fondamentale pour les compagnies d’assurance afin de quantifier le risque cybernétique et pourraient, à terme, aboutir à une offre plus dynamique des produits de cyberassurance.

En complément de cet effort de collecte de données, la création d’une entité fédérale de réassurance contribuerait en outre à alimenter le marché de la cyberassurance en protégeant les compagnies d’assurance des grands chocs, des risques rares ou des « cyberouragans ». Le gouvernement américain a joué le rôle d’assureur de dernier recours pour les événements terroristes au lendemain du 11-Septembre, mais l’opinion publique se demande si ce rôle ne devrait pas se poursuivre au-delà du 31 décembre 2014, date d’échéance prévue. Ainsi, la bataille pour un nouveau moyen de cyberréassurance financé par l’État pourrait ne pas survenir dans un futur proche.

Cet article a été rédigé par Emilie Esposito, membre de la Lauder Class 2015 de la Wharton School of Business. Il a été publié en décembre 2013 par notre partenaire Knowledge@Wharton, sous le titre “Cyber Crime: The Achilles Heel of the Business World”. Copyright Knowledge@Wharton. Tous droits réservés. Traduit et publié sur autorisation.

More on paristech review

By the author

  • Cybersécurité: le talon d’Achille du monde des affaireson February 20th, 2014

www.paristechreview.com

This content is licensed under a Creative Commons Attribution 3.0 License
You are free to share, copy, distribute and transmit this content

Logo creative commons

5 quai Voltaire 75007 Paris, France - Email : contact@paristechreview.com / Landline : +33 1 44 50 32 89