Ep.010 – Comment s’assurer contre les cyberattaques ?

Régulièrement, certains de nos clients s’interrogent sur les possibilités d’assurances face aux cyber-risques ou cyberattaques. Sophos n’étant pas un spécialiste de l’assurance, nous les invitons à s’adresser à leur assureur de confiance habituel. Beaucoup cependant continuent à nous demander des informations pour les aider à démarrer une réflexion sur le sujet. C’est pourquoi quand j’ai reçu une invitation des lundis de l’IE sur ce thème, j’ai sauté sur l’occasion pour faire le point.

Le format concis et efficace des lundis de l’IE

Cette conférence de deux heures était organisée par le Medef Ile de France dans le cadre des Lundis de l’Intelligence Economique, sur le thème “Le système d’information et les informations d’une organisation sont-ils assurables face aux cyber attaques ?”, le lundi 9 décembre dernier à 18 heures.

Ce format à la fois complet et concis, dans le cadre agréable et convivial mis à disposition par le Medef, permettait de nombreux échanges avec les participants.

Des intervenants experts

Les intervenants étaient des experts d’AXA Entreprises sur le domaine :

• Philippe Gaillard, Directeur des Risques techniques d’AXA Entreprises
• Pierre Gorse, responsable technique en responsabilité civile d’AXA Entreprises

Une réflexion pour toutes les tailles d’organisations

On est souvent tenté de considérer que ce genre de séminaire et de thème est réservé aux plus grandes entreprises. J’ai donc été agréablement surpris d’entendre que les experts souhaitaient d’emblée s’adresser à un public beaucoup plus large, en rappelant le positionnement fort d’AXA Entreprises auprès des PME/PMI et Entreprises de Taille Intermédiaire.

Si votre organisation est une PME/PMI, ce qui suit s’adresse donc aussi à vous.

Quelques exemples de risques liés aux cyberattaques

Les intervenants ont souhaité commencer par illustrer le sujet par quelques exemples très médiatisés.

Pour illustrer les risques financier liés aux notifications de l’atteinte au traitement des données à caractère personnel aux utilisateurs, ils ont d’abord rappelé les mésaventures de SONY le 20 avril 2011, avec le vol de millions de données personnelles bancaires suite au piratage du PlayStation Network. Une première estimation du simple coût des notifications légales aux victimes potentielles aboutissait au chiffre faramineux de 23 milliards US$, qui aurait pu menacer l’existence même de la société. Finalement, ce chiffre s’est élevé à « seulement » 130 millions US$. Un coût beaucoup plus modeste, mais loin d’être négligeable.

Ensuite, ils ont souhaité sensibiliser contre les risques liées aux pertes de données dans le cadre de services de stockage en ligne, avec le cas de MegaUpload. Quand les autorités ont décidé la fermeture de l’accès le 19 juin 2012, certaines organisations qui avaient utilisé ce service pour stocker leurs données en ligne (des petites sociétés, en général) s’en sont trouvées privées, du jour au lendemain sans préavis. Par la suite, le site a été ré-ouvert quelques jours pour permettre aux utilisateurs les plus avertis de récupérer leurs données. Ce cas doit ouvrir les yeux sur l’attention qui doit être portée, en amont, à tout ce qui concerne le stockage de données et les plans de reprise d’activité en cas de sinistre, d’événements exceptionnels ou de cyberattaques. Il y a encore trop de PME/PMI qui ne se relèvent pas après un tel événement.

Enfin, ils ont rappelé le cas bien connu de Stuxnet pour illustrer le côté inattendu de certaines attaques, et les risques de dommages collatéraux dans des attaques de grande ampleur. Stuxnet avait été probablement conçu pour atteindre le programme nucléaire iranien, avec des moyens sophistiqués, mais a fini par toucher un grand nombre d’entreprises, sur un composant clé de leur infrastructure mais pas concerné jusqu’alors par les attaques, les serveurs SCADA. Non seulement le nombre de cyberattaques augmente, mais leur variété et leur sophistication aussi, avec un risque de plus en plus fort de pouvoir toucher des composants opérationnels critiques.

Le contexte légal

Comme les intervenants, je ne rappellerai pas ici le contexte légale complet des lois touchant à l’informatique et aux données. Je me contenterai de rappeler que les plus avancées concernent les opérateurs de télécommunication et les fournisseurs de services internet, pour lesquels il existe une obligation de notification des atteintes au traitement des données à caractère personnel, suite à la transcription en France (Ordonnance n°2011-1012 du 24 août 2011), de la Directive Européenne 2009/136 CE.

Si en France une telle loi ne concerne qu’un petit nombre d’acteurs, elles sont en vigueur pour l’ensembles des organisations aux Etats-Unis depuis parfois une dizaine d’années dans certains Etats, et plus près de nous, dans des pays comme le Royaume-Uni ou l’Allemagne.

Un projet de réforme des règles touchant à la protection des données à caractère personnel, initié par Vivian Reding le 25 janvier 2012, est actuellement en cours d’examen au sein des instances européennes, et pourrait voir le jour avant l’été de cette année. Il rendrait en particulier obligatoire la notification des atteintes au traitement des données à caractère personnel pour toutes les organisations publiques ou privées. Ce projet contient d’autres articles visant à mieux protéger les données personnelles, leur accès par les citoyens, et le droit à l’oubli numérique.  Les récents débats autour de l’affaire PRISM renforcent la pression médiatique pour renforcer et harmoniser l’arsenal juridique européen sur le sujet.

Quelques remarques sur la différence entre la France et d’autres pays

Si ce contexte légal semble indiquer un certain retard de la France par rapport à d’autres pays, comme les Etats-Unis, le Royaume-Uni ou l’Allemagne, il présente aussi des spécificités.

Un exemple est particulièrement édifiant sur ce point. Tout récemment, en 2013, un centre hospitalier s’est vu mettre en demeure par la CNIL de corriger une situation où un prestataire non labélisé pouvait accéder, pour des travaux de codage,  aux informations médicales de 950 patients. Non seulement l’établissement s’est vu menacé d’une amende de 1,5 millions d’Euros, mais cette notification a été rendue publique.

Dans cet exemple, la CNIL assume un rôle de gendarme, capable d’infliger une amende même s’il n’y a pas eu de dommage causé à des tiers. C’est une différence entre l’approche juridique issue du Code Napoléon, et celle du droit anglo-saxon, qui aborde la question sous l’angle de  la Responsabilité Civile.

Que couvrent les polices d’assurance classiques

Les intervenants ont d’abord fait un point sur les “Polices Dommage”. Celles-ci couvrent en général correctement tous les dommages matériels liés aux cyber-risques, tels que les outils de production ou la perte d’exploitation, avec souvent des extensions classiques vers les carences de clientèle ou de fournisseurs. Elles peuvent aller, mais plus rarement, jusqu’à couvrir la gestion des crises majeures, la reconstitution de données suite à un événement ou les conséquences d’une interruption de service suite à une attaque par déni de service (DoS). Par contre, elles ne couvrent pas les frais de notification, les pertes d’exploitation sans dommage matériel, les pertes financières suite à une fraude ou à un détournement, ou encore les frais d’image, d’e-réputation ou d’usurpation d’identité. Elles restent donc très attachées à leur préoccupation d’origine, qui est de couvrir les dommages matériels.

Ensuite, ils se sont intéressés au cas des “Polices Responsabilité Civile”. Elles onté évolué pour couvrir les conséquences d’attaques aux données de clients, et ceci sans sous-limitation. Elles conservent cependant leurs “exclusions” classiques, concernant le fait intentionnel de l’assuré ou les dommages résultant d’un acte de concurrence déloyale ou d’atteinte à la propriété intellectuelle. En tous les cas, elles ne couvrent pas les frais de notification, d’amendes ou d’extorsion de rançons.

On constate donc que, même si une partie des risques est effectivement bien couvert, une autre partie sort du champs de ces polices classiques

Que couvrent les polices d’assurances Cyber-risques

Ces polices vont donc s’intéresser à ce qui est mal ou généralement pas couvert par ces polices classiques. Ceci comprend d’abord les frais de reconsitution de données. Il faut noter à ce propos qu’il faut une base de départ à ce travail, et qu’elles ne couvrent pas la reconstitution de données à partir de rien, quand toutes les données et leurs bases de constitution ont été intégralement perdues. Elles couvrent également les frais d’investigation et de décontamination, les pertes d’exploitation et frais supplémentaires, les frais de notification, de procédure et d’expertise, d’image, d’e-réputation, de litige, ainsi que les pertes financières face à la fraude et au détournement.

Et qu’en est-il des amendes ou extorsions de rançons ? S’il est possible de se couvrir contre ces risques dans des pays comme les Etats-Unis, l’état français interdit leur couverture. Il estime en effet que couvrir des frais d’amende serait déresponsabilisant, et couvrir les demandes de rançon un encouragement supplémentaire pour les cyber-attaques.

Parr contre, il est souvent possible en option d’étendre les couvertures en responsabilité civile, comme les conséquences pécuniaires des réclamations des tiers consécutives aux pertes de données ou les amendes civiles dans le cadre de procédures réglementaires.

Les assureurs proposent également souvent des services d’accompagnement, tels que la prévention en amont, l’expertise digitale ou juridique, ou l’aide à la gestion de crise. En fonction de la taille des entreprises et des contrats, ceci peut aller de la simple fourniture de conseils de d’une liste d’actions préventives à mettre en place dans le cadre d’un audit de vulnérabilité en auto-évaluation, à des test de pénétration poussés et l’intervention d’experts.

Quelques bons conseils

Interrogés sur l’élément de plus important en matière de prévention, les intervenants ont insisté, bien avant la mise en place de solutions de sécurité, sur la bonne gouvernance. Il faut d’abord et avant tout s’être préparé à une cyberattaque, avec par exemple des backups fréquents et régulièrement testés des données et systèmes sensibles. Le vrai sujet est en effet la capacité à rebondir en cas de sinistre majeur.

Ils ont également insisté sur la distinction entre ce qui peut attendre et ce qui mérite l’urgence, comme l’aide à la communication de crise, qui doit pouvoir s’appuyer sur des experts disponible en quelques heures, même la nuit et le week-end,

Un auditeur a demandé s’il pouvait y avoir refus de couverture en cas de défaut dans le déploiement correct de solutions de sécurité. Sur ce point, les intervenants ont été très clair: la couverture s’applique quand même, très généralement, dans la mesure où il est souvent difficile de déterminer avec certitude à postériori que telle ou telle mesure aurait effectivement été capable de bloquer l’attaque. Il est donc dans la nature de ces polices d’assurances de couvrir ce type de risque.

Interrogés sur les technologies pouvant faire la différence pour la prévention de la perte de données sensibles, les intervenants ont cité le chiffrement comme étant “un point discriminant sur l’appréciation des risques”.

Une nouvelle publication dédiée aux cyber-risques

Enfin, pour tous ceux qui souhaitent approfondir et se tenir au fait des derniers développement dans ce domaine, je signale la création d’une nouvelle publication dédiée aux cyber-risques, Cyber Risques News, éditée par Jean-Philippe Bichard, figure bien connue du monde de la sécurité et fondateur de la lettre d’information spécialisée Netcost&Security. Pour en savoir plus et consulter les articles du premier numéro, rendez-vous sur : www.cyberisques.com.