Assurance d’entreprises : le cyber ne doit pas tirer toute la couverture !

Les risques cyber sont entourés de divers fantasmes et d’idées reçues qui empêchent parfois les dirigeants d’entreprises de prendre des décisions rationnelles concernant les risques industriels. Une tribune signée Thierry Masurel, directeur général de FM Global, initialement publiée sur le Cercle Les Echos.

Les cyberattaques WannaCry (mai 2017) et NotPetya (juin 2017) ont jeté une lumière crue sur les vulnérabilités des industriels face au risque cyber, en paralysant pendant plusieurs jours des milliers d’entreprises à travers le monde. Selon la plupart des experts, la hausse du nombre d’attaques cyber et de vols de données devrait se poursuivre et même s’accentuer en 2018, en raison notamment du succès croissant des objets connectés, du développement du télétravail et surtout de l’essor du cloud.

Ces risques sont aujourd’hui connus et bien pris en compte par les assureurs, qui sont nombreux à proposer des couvertures cyber. Ils sont également identifiés par les décideurs au sein des entreprises, au point que le cyber est aujourd’hui le deuxième risque le plus redouté par les entreprises, juste derrière les interruptions d’activité.
Mais les expositions cyber nourrissent certains fantasmes et certaines peurs qui peuvent conduire à un déséquilibre dans l’évaluation et les prises de décision liées aux risques industriels. Tour d’horizon des principales idées reçues sur le cyber.

Idée reçue numéro 1 : les attaques cyber sont une fatalité

Comme pour les autres risques, des mesures de prévention simples et peu coûteuses peuvent permettre d’éviter ou de limiter les conséquences des attaques cyber. La majeure partie des cyber-attaques récentes sont basiques et aisément évitables car elles résultent de failles dans les systèmes d’exploitation et logiciels déjà identifiées (et le plus souvent corrigées) par les constructeurs. Ainsi, WannaCry et NotPetya ont exploité une faille corrigée par Windows plusieurs mois auparavant. Un premier réflexe facile à adopter est donc de mettre à jour régulièrement les systèmes d’exploitation, navigateurs web et logiciels dans la totalité de l’entreprise (terminaux fixes et mobiles).
Au-delà de protections de type anti-virus, pares-feux ou filtrage, une gestion efficace des droits d’accès et des mots de passe au sein de l’entreprise peut permettre d’éviter des fuites de données importantes. Les collaborateurs doivent être formés à la sécurité informatique en n’utilisant pas d’appareils personnels ou non-sécurisés et en évitant d’ouvrir pièces-jointes et liens non-identifiés. Si ces mesures ne garantissent pas de ne pas subir d’attaques cyber, elles peuvent permettre de réduire significativement leur portée et leurs conséquences.

Idée reçue numéro 2 : la protection des données est une affaire uniquement virtuelle

Les données ne sont pas que des 1 et des 0 dans le cloud ; elles sont stockées dans des serveurs physiques bien réels qui doivent, comme les autres sites de l’entreprise, être protégés contre les intrusions et les malveillances mais aussi contre les incendies ou les risques naturels. Une étude menée par FM Global a montré que la défaillance du système d’alimentation électrique reste la première cause d’interruption de service dans les salles informatiques (24 %), devant l’erreur humaine (22 %) et la cybercriminalité (18 %).

Les incendies d’origine électrique dans des salles de serveurs se caractérisent par un démarrage très lent, et même s’ils ne sont pas forcément spectaculaires, ils peuvent être extrêmement dévastateurs en raison des importantes fumées dégagées. Il faut également se pencher sur les dangers liés à la surchauffe, probablement le prochain défi majeur en matière de protection des salles informatiques. Avec des ordinateurs toujours plus puissants qui dégagent une chaleur beaucoup plus élevée aujourd’hui qu’il y a dix ans, la moindre interruption de ventilation engendre une hausse très rapide des températures dans la pièce pouvant mener à des incendies.

Idée reçue numéro 3 : les risques cyber doivent être la priorité numéro 1 des directeurs financiers

Si la sinistralité cyber augmente, les incendies et explosions restent aujourd’hui la première source de dommages pour les entreprises (environ 60 % des sinistres en moyenne) devant les catastrophes naturelles (environ 30 %), loin devant les cyberattaques.

L’année 2017 a été particulièrement marquée par des catastrophes naturelles avec 3 des 5 ouragans les plus puissants de l’histoire (Irma, Harvey et Maria) et de nombreux séismes, notamment au Mexique et en Italie. Selon la SCOR, ces 3 ouragans combinés aux séismes mexicains pourraient coûter près de 100 milliards d’euros aux assureurs, soit l’équivalent de deux fois le coût des attentats du 11 septembre.

Les directeurs financiers, tout comme les risk managers sont les garants d’une bonne évaluation des risques auxquels leur entreprise est exposée. Chaque secteur a ses spécificités, chaque entreprise a ses particularités. C’est pourquoi il est essentiel de maîtriser la cartographie globale de ses risques propres avant de faire le choix d’une politique de prévention et d’assurance adaptée.

Source : FMglobal