Pour le site du gouvernement français consacré à ce sujet, le risque cyber résulte d’une atteinte aux systèmes informatiques, d’entreprise ou de particulier, réalisée dans un but malveillant.
Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes.
Typologie des risques cyber
Il existe quatre types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cyber-criminalité, l’atteinte à l’image, l’espionnage, le sabotage.
La cyber-criminalité vise à obtenir des informations personnelles afin de les exploiter ou de les revendre. Il ne s’agit pas uniquement des données bancaires, mais également des identifiants de connexion, des données de santé… Les deux techniques les plus connues d’actes criminels dans ce domaine sont, depuis de longues années, le « phishing » (traduit en français par le terme hameçonnage) qui par usurpation d’identité, vise à recueillir des données personnelles et le « ransomware » (rançongiciel) qui, après cryptage des données d’un ordinateur, propose de fournir la clé de déchiffrement adéquate mettant fin au blocage contre paiement d’une rançon.
L’atteinte à l’image est bien relayée par la presse et les médias. Il s’agit de porter atteinte à l’image d’un particulier (connu de préférence) ou d’une entreprise, en substituant au contenu d’un site internet ou d’une page sur des réseaux sociaux, dans certains cas, des informations erronées, malveillantes ou calomnieuses, dans d’autres cas, des revendications politiques, religieuses…
L’espionnage concerne des organisations très ciblées et requiert des techniques sophistiquées. Les attaques visent à l’obtention de renseignements et de données de nature économique, technique ou scientifique. Cela réclame des moyens importants et s’inscrit le plus souvent dans la durée. C’est à l’insu de la victime que, par l’accumulation de données sans importance ou après avoir fait preuve d’une grande patience, une information stratégique est mise au jour et pénalise gravement cette victime.
Le sabotage est le fait de pervertir un système informatique d’une manière telle qu’il ne puisse plus fonctionner. Au contraire du ransomware, où le but est simplement crapuleux en permettant la remise en marche du SI dès paiement d’une rançon, l’intention de nuire est ici dans le temps. Il s’agit de pénaliser durablement la victime à une époque où sans système d’informations, il n’y a plus moyen de travailler. Le sabotage est ainsi un moyen de nuire à un concurrent en l’empêchant de produire ou en salissant son image auprès de ses clients.
Les risques cyber ne sont pas nouveaux : ils donnent l’impression d’avoir toujours existé ou en tous cas d’être aussi vieux que l’informatique elle-même. Mais ce sont l’extraordinaire développement de l’internet et la connexion des réseaux depuis une trentaine d’années qui ont véritablement ouvert de nouvelles perspectives à cette criminalité. Plus qu’à aucun autre moment dans l’histoire, la donnée a une valeur. Il suffit pour s’en convaincre de mesurer les capitalisations boursières atteintes par les grandes sociétés dont le modèle économique est basé sur l’internet.
Dérober ou pervertir une donnée est toujours un acte malveillant, qui est rarement gratuit.
Faire face
Naturellement, face à ces dérèglements, et presqu’immédiatement, des solutions ont été mises en oeuvre pour contrer ces attaques. Les unes sont techniques, les autres comportementales.
Au plan technique, une véritable industrie de lutte contre la cyber-criminalité s’est constituée, adoptant, pour se qualifier, des terminologies militaires ou médicales. Très tôt, les réseaux des organisations (entreprises ou administrations) ont été protégés par des pare-feux (firewalls). Des zones démilitarisées (DMZ) ou des bastions informatiques (bastion hosts) sont créés afin de préserver autant que possible les parties « privées » des réseaux informatiques.
Pour tous les utilisateurs, entreprises ou particuliers, il est également presqu’impossible d’envisager le recours aux outils de communication modernes sans protéger son équipement (matériel ou fichiers) à l’aide d’antivirus, antimalwares, anti spams… dont la mise à jour est maintenant faite quotidiennement, voire plusieurs fois par jour. Le plus souvent, l’acquisition de ces outils de protection est concomitante à celle de l’équipement (ordinateur, tablette…) quand elle n’est pas déjà intégrée à cet équipement.
Au plan comportemental, au sein des organisations comme dans les publications destinées au grand public, les utilisateurs sont appelés à adapter ou à modifier leurs comportements. Cela touche essentiellement les outils de messagerie électronique ; les utilisateurs sont invités à adopter une conduite prudente à l’ouverture de messages dont ils ne connaissent pas l’émetteur, ou des pièces qui sont jointes.
Cela est également vrai des sites internet : au départ, cette recommandation de prudence visait une catégorie de sites « ostracisés » mais aujourd’hui, le monde de l’internet est tellement ouvert – les fréquentations se traduisant par des milliards de transactions quotidiennes – que les sites grand public ou les blogs peuvent également être des vecteurs de transmission de cyberattaques. Dans nombre d’entreprises, l’accès aux sites internet est limité, le plus souvent à un périmètre professionnel.
Et pourtant, ces dispositifs qui sont indispensables et qui doivent être développés et renforcés, ne sont pas suffisants. Le nombre de cyberattaques augmente de façon exponentielle et leur impact financier se chiffre annuellement en milliards d’euros. Et surtout, ces attaques ont de plus en plus un retentissement mondial et connaissent une couverture médiatique considérable.
Dans un passé très récent, la cyberattaque mondiale causée par le logiciel malveillant WannaCry survenue en mai 2017 a paralysé l’activité de nombre de grandes organisations (entreprises, hôpitaux …) en profitant de certaines failles de sécurité Windows. Elle a été immédiatement suivie par l’attaque due à Adylkuzz puis, en juin, par NotPetya qui a « terminé le travail » en attaquant les organisations qui n’avaient pas encore intégré la mise à jour correctrice de leur système d’exploitation.
Les vols de données personnelles se multiplient également : en 2014, Sony a été victime d’un vol d’informations confidentielles relatives à la vie professionnelle ou privée d’artistes ayant contracté avec la société. Dans un autre domaine, il y a toujours des enquêtes en cours sur les opérations d’influence survenues au cours de la campagne pour les élections présidentielles américaines de 2016 à partir de données personnelles détenues par Facebook et utilisées à l’insu des milliers de personnes concernées par la société Cambridge Analytica. La tentation est grande de considérer que ces cyberattaques très médiatisées n’intéressent que les grandes organisations, pour des enjeux gigantesques en termes financiers et en nombre.
La tentation inverse existe aussi, à titre personnel et sur des outils privés, de se résigner à constater la croissance inéluctable de sa boîte de courriers indésirables ou de subir des dysfonctionnements importants suite à des consultations internet périlleuses.
Mais le cyber risque concerne aussi les petites et moyennes entreprises, autant que les grandes organisations ou que les particuliers, pour au moins deux grandes raisons : l’activité professionnelle est aujourd’hui indissociable de l’utilisation d’outils informatiques et la réglementation, notamment via le Règlement Général sur la Protection des Données RGPD, responsabilise les détenteurs de données et les contraint à respecter un certain nombre d’obligations en matière de gestion, d’utilisation, de conservation et de destruction de ces données.
Des données sensibles
Le secteur de la distribution d’assurance – et avec lui celui de l’intermédiation en assurance – est pleinement concerné : il s’agit d’un des secteurs où les notions de « digital », de « numérique », de « disruption » et de « block chain »… sont des sujets quotidiens, et pas uniquement lors de colloques.
L’intermédiaire d’assurance ne peut plus travailler sans des outils CRM de plus en plus puissants. Il détient des données bancaires de ses clients et il est informé sur leur patrimoine et sur leur vie privée ; il les assiste en cas de sinistre, pouvant ainsi être amené à connaître des préjudices corporels dont ils font l’objet. La liste est longue de toutes les données sensibles que l’intermédiaire doit détenir et utiliser.
Ce constat n’est pas neuf et la protection des données est un sujet d’attention pour les intermédiaires, tant aux plans techniques que comportementaux. Mais cela ne suffit plus. Dans la course sans fin à laquelle se livrent les concepteurs de logiciels malveillants et les fabricants d’anti-virus, personne ne peut se considérer comme inattaquable. Malgré les protections, personne ne peut se dire à l’abri d’une utilisation frauduleuse de données. Et personne ne peut se considérer comme dégagé de toute responsabilité si du fait d’une cyberattaque, un client s’estime lésé.
Malgré la prévention, si le dommage ne peut être évité, alors il est indispensable d’en être indemnisé, d’être en mesure de réparer et d’être assisté en cas de mise en cause. C’est la démarche de CGPA qui, en s’appuyant sur l’expérience reconnue de Beazley sur ce type de risque, a décidé d’incorporer la garantie des cyber risques dans son offre dès le 1er janvier 2019. Cette couverture repose sur trois piliers :
– Assister : dans l’urgence bien sûr, lorsque l’agence ou le cabinet est victime d’une cyberattaque. Il faut alors analyser la situation, bloquer au plus vite la propagation, prendre les mesures de protection des données et permettre au système d’informations de fonctionner à nouveau, le plus rapidement possible.
Mais l’assistance ne se résume pas à l’urgence. Il faut pouvoir, à froid, s’informer et se renseigner sur l’état de protection de son système d’informations et envisager les mesures à prendre pour la renforcer.
– Indemniser : au plan du fonctionnement de l’entreprise d’abord, car la remise en fonctionnement du système d’informations peut générer des dépenses imprévues, en terme d’image, de reconstitution des données ou de surcroît d’activité si le SI ne fonctionne pas au maximum de ses capacités.
Au plan réglementaire ensuite : la Commission Nationale Informatique et Libertés (CNIL) peut s’intéresser à la société et il faut alors engager des frais de défense.
Dans la foulée d’une intrusion sur le SI de l’entreprise, le RGPD lui donne 72 heures pour informer les clients ayant pu être concernés par l’attaque en qualifiant la portée de cet incident. C’est difficile, car il faut savoir communiquer et donc être aidé pour cela. Or, les frais d’impression et d’envoi qui ne sont pas budgétisés sont coûteux.
– Défendre : la médiatisation des cyberattaques, la sensibilité croissante du grand public sur l’emploi qui peut être fait de ses données personnelles, les obligations de transparence introduites par la réglementation RGPD vont nécessairement générer des mises en cause d’un type nouveau. Il faut être en mesure de se défendre et d’indemniser les victimes en cas de condamnation.
Il est prématuré de savoir si les couvertures d’assurance cyber atteindront en Europe les niveaux qu’elles ont déjà aux Etats-Unis. Mais il est déjà certain que ces risques nouveaux ne sont plus de simples hypothèses. CGPA est déjà saisie de déclarations de sinistres dont les conséquences en termes de responsabilité civile ne sont pas encore évidentes mais potentielles.
Nous avons ainsi dû prendre en compte un dossier de vol d’ordinateur portable utilisé par un courtier en clientèle. Cet ordinateur n’était pas en connexion permanente avec le cabinet et des données sensibles étaient temporairement stockées sur le disque dur. Notre adhérent, par sa déclaration de sinistre, a souhaité se prémunir en cas de mise en cause suite à une utilisation malveillante des données du disque dur causant un préjudice à ses clients.
Nous avons également eu, dans le passé, plusieurs cas de piratage de boites e-mail du fait de failles de sécurité chez nos adhérents. Dans ces cas, il n’y a pas eu de mise en cause car les incidents ont été détectés assez vite mais il est clair qu’une assistance technique aurait été la bienvenue. C’est ce que nous pouvons désormais faire.
Conclusion
Le fantastique développement des systèmes informatiques et de l’internet ont profondément modifié les conditions de travail des intermédiaires d’assurance. Ces outils sont des sources de croissance de l’activité et d’allègement des tâches plus fastidieuses. Mais ils génèrent par eux-mêmes des risques nouveaux.
Très classiquement, les réponses à mettre en place en regard de ces risques sont la prévention, technique ou comportementale, et les garanties d’assurance appropriées en cas de survenance d’une cyberattaque.