references
StRAtégIe & INNovAtIoN NuméRIque
Expertises
n°6
Assurance risque
par Jean-Laurent Santoni Président de Clever Courtage
Cyber-attaques et assurance, où en sont les entreprises françaises ?
D
ans le cadre de la réalisation de son livre blanc, Provadys, en partenariat avec le Cesin, a réalisé un sondage auprès de Responsables de la sécurité des systèmes d’information (RSSI) de grandes entreprises françaises et internationales du 6 juin au 12 août 2013. Des questionnaires en ligne et papier ont été diffusés auprès de 140 RSSI. Les 40 items abordaient cinq grandes thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation. L’objectif de l’étude était d’apporter un éclairage sur les actions mises en œuvre dans les entreprises françaises pour se préparer aux attaques, les détecter et y faire face. Il s’agissait de
mieux connaître la situation des entreprises en matière de résilience face aux cyberattaques. Nous nous attacherons ici à examiner les réponses relatives à la thématique « récupération » visant en particulier les aspects assurances dans un univers dématérialisé.
d’activité, le panel est varié : par exemple 25% font partie du secteur Industrie ; 23% du secteur Banque/Assurance, 16% du secteur Administration (Public).
une nouvelle attaque du même type. De la même manière, 60% des entreprises déclarent ne pas avoir défini les processus permettant de
concLuSion
L’étude démontre que l’étape de prise de conscience a été réalisée par les entreprises
LeS aSPectS aSSurance
Pour les entreprises, la probabilité d’occurrence d’une cyber-attaque est très élevée à moyen terme ; pourtant, très peu d’entre elles disposent d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée. Pour 32% d’entre elles, il sera très difficile de récupérer d’une cyberattaque et/ou de tirer les enseignements qui permettront de prévenir
“Nombre d’entreprises ”
prendre en compte les aspects juridique et assurance suite à une cyber-attaque. Ces entreprises seront donc dans l’incapacité de porter plainte et/ou de tenter de récupérer une part du préjudice via une assurance.
SynthèSe de L’échantiLLon
73 RSSI ont répondu, soit une participation significative de 52%. Parmi les entreprises ayant rempli le questionnaire, 87% sont de très grande taille (plus de 500 collaborateurs). Cette enquête reflète donc principalement les préoccupations des grands groupes. D’un point de vue secteur
seront dans l’incapacité de porter plainte
en France. Les cyberattaques sont donc bien présentes dans le catalogue des défis à relever. Néanmoins, il reste encore de nombreuses étapes à franchir pour beaucoup d’entreprises avant de pouvoir garantir un niveau optimal de résilience face aux cybe-
rattaques. Leur préparation reste théorique et les organisations aussi bien que les équipes ne sont pas outillées ou entraînées opérationnellement pour y faire face. Des moyens existent, des investissements et des travaux ont été réalisés, mais l’efficacité de tous ces éléments n’est pas évaluée régulièrement afin qu’ils puissent être ajustés, et les mesures de récupération, notamment fondées sur le financement du risque par l’assurance, ne sont pas mises en œuvre, un peu comme si les entreprises pensaient encore que « cela n’arrive qu’aux autres ».
Normes
par Jean-Louis Pascon
Consultant chez Hénon Conseil
Le rôle croissant des normes de management