Chausser les lunettes du cyberpirate

Établir un état des lieux des risques numériques et, surtout, donner des pistes aux entreprises pour s’en prémunir et être indemnisées en cas de dommages. Organisée par le groupe professionnel droit, assurance, finance d’Arts et Métiers Alumni, la conférence du 19 novembre a répondu à un grand nombre d’interrogations.

Le risque numérique ne fait que croître. Grandes et petites, toutes les entreprises sont touchées, de Google à Facebook en passant par Renault ou la Deutsche Bahn. Argent, malveillance, espionnage industriel ou pillage, les motivations sont diverses. Les entreprises doivent améliorer sans cesse leur système de sécurité. «Le site web des jeux Olympiques d’hiver 2018 avait été attaqué. Six mois plus tard, nous faisions face aux mêmes “hackers”, explique Vincent Desroches, chef de division adjoint méthodes de management de la sécurité numérique à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Mais ils avaient progressé et réussi à incorporer de nouveaux modes opératoires. Organisés en groupe, ils fonctionnent en mode projet pour développer des codes malveillants et utilisent des techniques de plus en plus sophistiquées ou contextualisées.» Les responsables informatiques ne peuvent plus se contenter de «boucher les trous», comme certains le faisaient au tournant des années 2000. Bien qu’indispensables, les précautions de base ne suffisent plus. Pour aider les entreprises et leurs dirigeants, l’Anssi a fait évoluer sa méthode d’analyse de risque Ebios Risk Manager (lire l’encadré ci-dessous).
Le traitement efficient et pérenne du risque numérique est un travail d’équipe. Le responsable des risques («risk manager») doit s’adresser au responsable de la sécurité des systèmes d’information (RSSI), mais aussi aux directeurs de projet. L’implication des responsables métiers est indispensable. «C’est un enjeu important, souligne Vincent Desroches. La parade doit s’ancrer dans la stratégie de l’organisme entier. Efficiente, convaincante, notre méthode est aussi collaborative.»

Ebios RM simule les attaques

Le socle minimal de sécurité est réalisé selon une approche de conformité, en appliquant les recommandations rassemblées dans divers guides. À cette base s’ajoutent les éléments réglementaires. Charge au RSSI de s’assurer de la mise en conformité de son système d’information. «Un socle de sécurité bien stable d’un système d’information et d’une organisation peut résister à un certain nombre d’attaques», rappelle Vincent Desroches. La méthode Ebios RM propose de «malmener» ce socle en chaussant les lunettes de l’attaquant. Des scénarios d’attaque sont construits, représentatifs des modes opératoires typiques des pirates. «Si vous ne connaissez pas à fond la menace, vous ne pourrez pas construire une protection et une défense efficaces. Il faut s’informer auprès de spécialistes, des personnes du renseignement, des analystes financiers, des auteurs de bulletins d’information sur l’état de la menace.» Par ailleurs, il faut ne pas se restreindre au strict périmètre de l’entreprise. «De plus en plus de cyberpirates entrent dans le système d’une entreprise par l’intermédiaire de sa chaîne d’approvisionnement, avertit Vincent Desroches. Il faut par exemple se poser la question : “Mon prestataire de maintenance a-t-il sécurisé efficacement son propre système ?”» L’inviolabilité totale ne peut être garantie. Les assureurs se sont donc penchés sur les conséquences des cyberrisques. «Nous avons travaillé sur la connaissance du risque, la manière de s’en prémunir ainsi que sur des actions de communication, explique Christophe Delcamp, directeur adjoint de la Fédération française de l’assurance. Et nous voulons optimiser les garanties des risques cyber.»

La méthode Ebios Risk Manager

Méthode de référence de l’analyse de risque française, Ebios permet aux entreprises d’apprécier et de traiter leurs risques. La méthode initiale, créée en 1995 par l’Agence nationale de la sécurité des systèmes d’information (Anssi), n’a cessé d’évoluer, grâce aux nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives à la sécurité de l’information. Pour prendre en compte l’environnement actuel, la dernière version (2018), Ebios Risk Manager, se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios sollicite ensuite ce socle : diverses (fausses) attaques de pirates, particulièrement pointues ou sophistiquées, et qui prennent en compte le système métier et technique dans lequel l’entreprise ciblée évolue, sont simulées pour en jauger la résistance. 

Le casse-tête de l’assureur

Côté entreprise, il convient de s’assurer de la confidentialité des échanges et des données transmises, d’avoir une vision précise des garanties en jeu et d’étudier les clauses d’exclusion. «Il faut que les clauses soient très claires», insiste Christophe Delcamp. En France, l’assurance du cyberrisque reste peu développée, mais l’évolution de la législation, en particulier avec la mise en place du règlement général sur la protection des données (RGPD) en mai 2018, va augmenter la demande. Ce qui ne va pas sans difficultés. «On manque de données pour modéliser le risque et calculer les primes, on a encore besoin d’apprendre, alerte Patrick Pouillot, spécialiste du cyberrisque (BNP Paribas Factoring). Il est difficile de mettre un prix sur un contrat. Les assureurs ont établi des contrats génériques, alors qu’il s’agit de risques spécifiques. Il faudrait les évaluer et créer un référentiel commun.»
Maître Iris Vogeding, avocate au sein du cabinet Holman Fenwick Willan, précise que «le RGPD est dans une logique de responsabilisation des acteurs et les sanctions encourues en cas de non-respect sont accrues, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial». Pour aider les entreprises, la Cnil a édité des clauses types pour les contrats de sous-traitance, mais leur mise en place est parfois délicate. Et si l’entreprise est victime d’une violation de ses données, elle doit le déclarer dans les 72 heures à la Cnil : «Des schémas types devront avoir été établis au préalable pour décider rapidement si une notification à la Cnil est nécessaire ou pas», conseille Iris Vogeding.

La protection face aux cyberrisques est affaire de prévention. Les briques techniques et organisationnelles existent et l’Anssi apporte son expertise pour la mise en oeuvre de la méthode Ebios RM.

Cet article fait suite à la conférence intitulée «Risques numériques, état des lieux pour les entreprises et leurs assureurs», organisée par le groupe professionnel droit, assurance, finance, à l’hôtel d’Iéna le 19 novembre dernier à l’hôtel d’Iéna :

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.