Les dernières attaques cyber démontrent l’impuissance des entreprises face au risque cyber et l’étendue du défi de la cybersécurité. Elles poussent aussi à la remise en question sur la manière d’évaluer la menace et la hiérarchie que proposent les matrices de risque. Alors quels sont ces nouveaux risques et comment mieux les appréhender ? Voici quelques pistes pour mieux comprendre les enjeux actuels de la cybersécurité.
De nouveaux acteurs et de nouveaux moyens
En décembre, on découvrait avec stupeur que certaines agences gouvernementales américaines avaient été victimes de cyber attaques par la compromission des mises à jour de leurs fournisseurs de logiciels. Ces attaques soulevaient un pan nouveau de la cyber menace, encore inconnue à ce jour car les organisations peuvent faire appel à des centaines de fournisseurs et d’entrepreneurs tiers qui leur permettent de s’infiltrer ! Ces tiers ne sont d’ailleurs pas toujours des fournisseurs informatiques puisqu’on a même découvert des infiltrations par le biais d’un aquarium connecté dans un casino de Las Vegas ou un fournisseur d’air conditionné dans un supermarché américain…
Les cybercriminels ne se refusent aucune technologie puisque même l’intelligence artificielle permet aujourd’hui de réaliser une cyberattaque, et notamment récemment en piégeant un employé avec une copie de la voix du PDG.
Les lacunes des approches actuelles
Les approches actuelles de la gestion des risques de cybersécurité s’appuient sur des matrices de risques, qui utilisent une grille pour comparer la probabilité du risque et la gravité de l’impact. Les valeurs numériques attribuées aux probabilités et à la gravité ne sont pas complètement fiables, car on peut obtenir la même valeur numérique pour des menaces très différentes. La hiérarchie des risques de cybersécurité qui en découle et l’attribution des ressources s’en trouve donc totalement incorrecte.
Si l’évaluation des risques cyber est encore compliquée, c’est aussi pour toutes ces raisons :
-
Il existe peu de données historiques sur les cyberattaques car ces risques sont relativement récents
-
Les entreprises ne veulent pas toujours communiquer sur les attaques dont elles ont été victimes car elles ont peur d’entacher réputation,
-
Le profil de risque d’une entreprise au moment de son attaque diffère énormément plusieurs mois plus tard du fait des nouveaux fournisseurs et entrepreneurs tiers ou des nouveaux outils de sécurité mis en place
-
Le manque de souscripteurs expérimentés en matière de cybersécurité
Les défis de la cyberassurance
L’espoir qu’offre le recours massif à la cyberassurance repose sur un schéma simple : les compagnies d’assurances gèrent le risque pour les entreprises assurées qui elles participent à le rendre moindre en améliorant leur niveau de cybersécurité pour bénéficier d’une réduction de leur police d’assurance.
Le risque d’accumulation, c’est-à-dire le risque que les sinistres d’un seul incident se propagent à d’autres parties du portefeuille d’un assureur, est un autre défi. Et en matière de cyberespace, il est particulièrement difficile d’évaluer le risque d’accumulation car une cyberattaque peut entraîner des demandes d’indemnisation dans le monde entier.
Les assureurs doivent relever un autre genre de défi : celui d’aller au-delà de la simple vente d’assurance afin d’aider leurs clients
-
À améliorer leur préparation à la cybersécurité, en informant leurs clients des vulnérabilités de sécurité, en analysant leur système informatique
-
À mettre en place des tests de pénétration de leurs systèmes informatiques et des campagnes de sensibilisation au phishing pour leurs collaborateurs,
-
À répondre aux cyberattaques en proposant des services de gestion de crise, d’assistance juridique, de reprise rapide des activités grâce à des partenariats avec des sociétés de cybersécurité, des sociétés de relations publiques et des cabinets juridiques.
Ce qu’il faut comprendre, c’est que les modèles d’évaluation du risque cyber doivent s’ajuster à l’évolution du risque de cybersécurité de l’entreprise en s’appuyant sur des informations en temps réel. Il est primordial d’isoler, de comprendre et d’analyser l’effet d’accumulation d’une cyberattaque sur un segment de marché donné afin de créer un cercle vertueux dans lequel la cyberassurance contribuera véritablement à accroître les niveaux de cybersécurité.