- Largeur.com - https://largeur.com -

S’assurer contre le hacking? Attention, terrain glissant

cyberlock.jpg

L’ennemi vient rarement de là où on l’attend; un adage particulièrement pertinent dans l’univers opaque de la cybercriminalité. Les PME romandes ne se doutent pas qu’elles peuvent servir de passerelles aux pirates économiques qui cherchent à s’introduire dans le système informatique d’une grande entreprise. «Infiltrer une banque suisse depuis l’extérieur reste un exercice particulièrement délicat, relève le hacker éthique Ilia Kolochenko à Genève, fondateur de la société High-Tech Bridge. En revanche, de nombreuses petites structures de consulting, à la gestion informatique laxiste, peuvent avoir un accès privilégié au système informatique des établissements bancaires. Il est mille fois plus facile de les pirater, elles.»

Dans une Suisse romande à la densité élevée de personnes et d’institutions fortunées, les PME peuvent ainsi se retrouver dans la posture de victimes collatérales d’attaques informatiques de grande ampleur. Dans d’autres cas, c’est la confiance excessive accordée à un collaborateur qui est à l’origine du délit: «Je connais une PME dont le responsable informatique est parti à dessein avec tous les codes informatiques lorsqu’il a quitté son employeur», relève Romain Roubaty, responsable du centre d’investigation numérique et de cryptologie de l’institut de lutte contre la criminalité économique à Neuchâtel.

L’argent n’est pas toujours le mobile direct: «Bases de données et autres brevets constituent aussi des proies intéressantes, poursuit l’expert. Soit pour du chantage, soit pour profiter des compétences économiques d’une entreprise, à fin de concurrence.» Jacqueline Reigner, présidente de l’association suisse de la sécurité de l’information et directrice de Sémafor Conseil, cite le cas d’une entreprise informatique romande victime d’une attaque par «déni de service» (inonder un site de demandes afin de le paralyser, ndlr): «C’était du chantage: si vous ne payez pas, nous attaquons. Parfois, on ne remarque même pas les menaces, noyées parmi les spams en tout genre. L’entreprise en question a dû fermer ses portes.»

Pourtant, pratiquement aucun cas n’émerge à la lumière, car il n’est pour l’heure pas obligatoire en Suisse de déclarer une cyberattaque: la plupart des entreprises victimes préféreront une perte économique directe à une perte de crédibilité. D’autant que la loi suisse s’avère plutôt inefficace pour récupérer les données volées: «Une demande officielle d’entraide pour un cas de piratage depuis la Chine, utilisée comme pays-relais par de nombreux criminels, reste généralement sans suite», informe Ilia Kolochenko.

Nouveau marché en Suisse

Pour prévenir les risques, quelques assureurs tentent de se lancer sur ce nouveau marché en Suisse, d’une taille évaluée «entre 30 et 100 millions de francs» par Zurich assurance pour les dix prochaines années. Le géant a été la première compagnie suisse à lancer son offre de cyberassurance destinée aux entreprises, en août dernier.

«Nous pensons que ce marché va prendre son envol. Le nouveau règlement de l’UE sur la protection des données devrait être adopté en 2014 ou au plus tard en 2015. Il obligera les entreprises à annoncer toute cyberattaque aux autorités et aux clients, et ce même si rien n’a été volé», souligne Stéphanie Pierret, responsable de ce produit pour la Suisse romande. Pour la spécialiste, il est probable que la Confédération s’alignera sur la législation européenne. Cela devrait décupler l’intérêt de s’assurer, par précaution. C’est en tout cas ce qui a été observé aux Etats-Unis: «Dans ce pays, cette obligation existe depuis plus de quinze ans. C’est pour cela que nos filiales américaines proposent déjà de telles assurances. Grâce à elles, nous bénéficions d’un savoir-faire en la matière.»

Car si une entreprise perd des données personnelles, elle peut déjà se retrouver devant la justice. «Selon l’issue du procès, celle-ci peut être condamnée en Suisse à une amende pouvant atteindre 2 à 5% du chiffre d’affaires…», précise encore Stéphanie Pierret.

Zurich assure recevoir «beaucoup de demandes d’entreprises de toute taille, en Suisse romande». Les premiers contrats ont été signés. Pourtant, les autres assureurs helvétiques ne semblent pas suivre le mouvement. La tentative de Zurich pourrait faire figure de premier crash test, sur ce marché particulièrement complexe. «Nous évaluons régulièrement la possibilité d’entrer dans ce créneau. S’il y a un changement de législation, nous n’excluons pas d’intégrer les cyberassurances dans notre future offre», précise Marc Bachmann, chargé de communication à La Vaudoise.

Le responsable note toutefois un bémol en cas de sinistre: «Pour être couvert après une attaque, l’assuré doit prouver qu’il avait mis en place tous les moyens possibles pour lutter contre le hacking économique. Ce calcul est complexe, d’autant que les technologies évoluent rapidement. Dans la réalité, peu de cas risqueraient effectivement d’être pris en charge, car beaucoup de sociétés n’arriveraient pas à fournir cette preuve.»

Pour Zurich, l’audit de base suffit à écarter toute controverse. Ilia Kolochenko souligne lui aussi plusieurs difficultés d’application des cyberassurances: «L’évaluation technique ne suffit pas, car le facteur humain est très important dans la fuite d’informations. Pour réellement couvrir les risques, les entreprises devraient communiquer en permanence des informations confidentielles, notamment sur leurs clients, aux assureurs, ce dont elles n’ont pas forcément envie. Enfin, comment les assurances vont-elles chiffrer les pertes? Celles-ci ne peuvent survenir que des années plus tard, par exemple lorsqu’un concurrent utilise les données volées.»

Surtout, ajoute l’expert, la plupart des attaques sont impossibles à détecter et donc à prouver: «au moins 90% des attaques ciblées ne laissent aucune trace. Seuls 10% des cas seront donc réellement couverts. Et c’est la porte ouverte aux abus: un patron pourrait très bien simuler une attaque ou un chantage contre sa propre entreprise, afin de récupérer l’assurance. Comment prouver que c’est bien une fuite, et pas un abus? C’est un terrain glissant.»

Le spécialiste ne nie pas toute utilité aux assurances. «Elles sont nécessaires, mais un peu idéalistes. Le message qu’il faut communiquer aux entrepreneurs, c’est de ne pas relâcher la garde contre les pirates, même après avoir contracté une assurance. Celle-ci peut être efficace et donner l’illusion de la sécurité, en sachant qu’elle ne couvre absolument pas tous les cas. Sinon, cela serait un effet pervers particulièrement dangereux.» Contre le brigandage en ligne, mieux vaut apprendre à lutter sur tous les fronts!
_______

Une version de cet article est parue dans PME Magazine.