Matériels et système d’information

Aujourd’hui, plus aucune entreprise ne peut se passer du numérique, que ce soit de façon externe via un site internet, des réseaux sociaux pour se faire connaître auprès de ses clients et partenaires, ou pour vendre en ligne, ou bien de façon interne pour organiser ses process (production, logistique…), sa communication, etc.

Le numérique représente un coût important, avec l’achat de matériels spécifiques, mais aussi un investissement, car il est un puissant levier de croissance. Ce n’est pas pour rien que 98 % des entreprises de plus de 20 salariés mènent une politique de transformation digitale en 2023 (source : baromètre Croissance et Digital de l’Acsel, 7e édition).

Comme tout investissement, il faut le protéger. Car en cas de panne, de vol, de dégâts irréparables sur le matériel, ou d’attaque cyber, c’est toute l’activité de l’entreprise qui peut se retrouver mise à l’arrêt. Les conséquences financières et relatives à la réputation peuvent être considérables.

Fraude et risques cyber

Quand on parle de protection numérique, l’entreprise a tout intérêt à se prémunir contre les risques de fraude. Pour rappel, la fraude est un acte intentionnel réalisé par un salarié ou un tiers de façon illicite, pour en retirer un avantage financier. Elle peut revêtir de nombreuses formes : usurpation d’identité, arnaque au faux président, escroquerie, abus de confiance, etc.

La cybercriminalité est une forme de fraude, par intrusion dans les systèmes d’information de l’entreprise. Pour autant, si le contrat d’assurance fraude garantit les pertes pécuniaires directes et les frais supplémentaires d’exploitation en cas de fraude, il interviendra au titre d’une fraude informatique de façon limitée, que ce soit sur l’origine du sinistre ou des montants d’indemnisation.

Vous l’aurez compris, les contrats d’assurance combinés cyber et fraude n’offrent pas de protection aussi étendue que la souscription de deux contrats d’assurance distincts, dont les montants des garanties sont plus importants. Pour une couverture plus globale et de meilleures garanties, la combinaison de ces deux contrats d’assurance s’avère être une stratégie plus pertinente.

L’assurance tous risques informatiques (TRI)

Contrairement à ce que son nom pourrait laisser penser, une assurance tous risques informatiques (TRI) couvre uniquement les dommages matériels subis par les équipements informatiques à la suite d’un incendie, d’une explosion, d’un dégât des eaux ou des dommages électriques. Le risque cyber n’est donc pas pris en compte.

L’assurance TRI vient en complément d’un contrat cyber. Elle ne s’y substitue pas. Le contrat cyber, de son côté, intervient en cas d’attaque cyber et en-dehors de tout dommage matériel au parc informatique. Ces deux assurances sont donc parfaitement complémentaires.

Pour assurer à votre entreprise la meilleure des protections contre toutes les formes de risques informatiques et cyber, impossible de vous contenter d’un seul contrat d’assurance. Optez plutôt pour plusieurs contrats, selon vos besoins et les risques encourus. Pour trouver la solution la plus adaptée à votre situation, contactez-nous.

Garantie dommages

Dans un contrat d’assurance cyber, les garanties dommages couvrent les pertes de l’assuré à la suite du sinistre, en dehors de toute réclamation de tiers. Ce sont notamment les frais de restauration de données et de remise en état du système d’information, les frais de notification, les frais de surveillance, les frais d’enquêtes et de sanctions administratives, les frais de cyber extorsion et les pertes de revenus consécutives au sinistre.

Zoom sur les frais de surveillance (monitoring) et de notification

En cas de vol ou d’atteinte des données bancaires, l’assureur prend en charge les frais de monitoring liés à la surveillance du marché en cas de revente et/ou d’utilisation frauduleuse de ces données.

Les entreprises sont également soumises à une obligation de notification qui s’applique en cas de violation de données à caractère personnel, sur la base du Règlement Général européen sur la Protection des Données à caractère personnel (RGPD), en vigueur depuis le 25 mai 2018. Le coût moyen est estimé à 7 euros par notification. L’estimation inclut les frais d’investigation informatiques, les frais de notification, la mise en place d’une cellule de relation clients ainsi que les experts juridiques. Les frais de notification sont également pris en charge au titre de contrat cyber, dans le cadre d’une police d’assurance cyber.

Bon à savoir : le manquement à l’obligation de notifier peut également engager la responsabilité du responsable de traitement, qui devra être couverte par le volet de responsabilité civile du contrat cyber.

Responsabilité civile

Autre volet important dans tout contrat d’assurance cyber, le volet responsabilité civile. Ce volet garantit les conséquences financières et les frais de défense de l’assuré résultant de réclamations de tiers pour atteinte à des données ou systèmes d’information.

Il existe de nombreuses formes de dommages subis par les tiers :

• contamination du système d’information par la transmission par l’assuré d’un fichier infecté d’un virus,
• déni de service du fait de l’inaccessibilité des services de l’assuré,
• violation du droit fondamental au respect de la vie ou des obligations de confidentialité, de transparence et de durée de conservation,
• contenu d’un site Internet,
• …

Gestion de crise

En cas de cyberattaque, c’est une course contre la montre qui se joue. La mise à disposition auprès de l’entreprise assurée par l’assureur d’un réseau de partenaires experts en gestion de crise (experts informatiques, en relations publiques et communication, experts juridiques) constitue un réel atout pour l’entreprise.

Le volet gestion de crise intègre la prise en charge des frais de recherche de la cause du sinistre et de rétablissement du système d’information, des frais de communication et de relations publiques, de restauration des données et de notification et/ou monitoring.

Sécurité financière

Il y a en effet de nombreux avantages à souscrire à un contrat d’assurance cyber. Tout d’abord, ce contrat est un outil de transfert de risques qui sécurise financièrement l’entreprise. Même si le risque zéro n’existe pas, la mise en place d’une police d’assurance cyber permet de limiter l’exposition financière de l’entreprise en cas d’attaque.

Une protection non négligeable, quand on connaît les risques financiers que courent les entreprises victimes de cyberattaques. En effet, ces incidents peuvent entraîner des coûts considérables pour l’entreprise, notamment en matière de récupération de données, de gestion de crise et de réparation des systèmes compromis.

Le coût moyen d’une cyberattaque s’élève à 1,3 million d’euros pour une interruption d’activité de 15 jours. Une somme colossale qui peut mettre en péril l’avenir d’une entreprise.

Exposition

Par ailleurs, le processus de mise en place d’un contrat d’assurance cyber requiert la réalisation d’une cartographie des risques au sein de l’entreprise. Cette démarche est un réel atout pour l’entreprise, qui lui permet d’identifier clairement et de façon plus globale les risques auxquels elle est exposée, mais également d’évaluer quels risques peuvent être transférés à l’assurance.

L’occasion également de construire avec des experts leur(s) plan(s) de continuité d’activité (PCA) en cas de sinistre. Dans un monde où les cyberattaques sont monnaie courante et où toutes les entreprises, quelle que soit leur taille et leurs niveaux de sécurité, sont exposées, la mise en place d’un tel plan est indispensable pour assurer la stabilité opérationnelle d’une société.

Lorsqu’il est consciencieusement élaboré, le plan de continuité d’activité permet à l’entreprise de réduire les temps d’arrêt consécutifs à l’incident cyber, grâce à des procédures claires pour la reprise des opérations. Il contribue également à protéger la réputation de la société en prévoyant des outils et une stratégie de communication de crise favorisant la gestion de ses relations publiques et la limitation des dommages perçus.

Couverture adaptée

Le risque cyber est complexe et protéiforme. Le contrat d’assurance doit donc disposer de plusieurs volets afin de couvrir au mieux ses diverses typologies et ses conséquences.

Il doit permettre d’assurer les dommages subis par les tiers ainsi que ceux subis par les entreprises assurées, mais aussi fournir à l’entreprise assurée des prestations d’assistance et de gestion de crise.

Le volet assurance comprend trois parties :

• un module d’assistance qui fait intervenir des experts cyber et des experts en communication de crise,
• la prise en charge des coûts directs : les opérations, les pertes d’exploitation et de chiffre d’affaires,
• les dommages aux tiers.

Comprendre les problématiques pour définir son besoin

Les programmes d’assurance cyber font partie d’un processus global de maîtrise du risque cyber : la cyber résilience s’inscrit dans un panorama plus général de gouvernance impliquant des décisions managériales, techniques, comportementales et gouvernementales.

Pour savoir si votre entreprise est concernée par la mise en place de tels programmes, il est nécessaire de définir ce processus en s’appuyant notamment sur les principaux enjeux de l’entreprise qui sont :

• la préservation des intérêts de l’entreprise,
• la maîtrise de l’image de l’entreprise,
• la globalisation de la gestion du risque cyber.

Quelles questions se poser ?

Avant toute chose, il est important de connaître votre situation. En répondant simplement à ces questions, vous pourrez déterminer la nécessité de mettre en place un programme d’assurance et d’évaluer votre degré de maturité à ce sujet.

Préservation des intérêts de l’entreprise

Premier enjeu à questionner : la préservation des intérêts de l’entreprise. Il est ici question de la sécurisation financière de votre structure, des intérêts économiques, du respect des valeurs éthiques et de la conformité réglementaire. Ainsi, demandez-vous :

• une impossibilité d’accès à vos systèmes d’information peut-elle affecter le fonctionnement de l’entreprise dans sa globalité ?
• possédez-vous des données confidentielles (clients, collaborateurs, fournisseurs) ?
• les données informatiques sont-elles stratégiques au sein de l’entreprise ?

Maîtrise de l’image de l’entreprise

Deuxième domaine sur lequel vous interroger : l’image de votre entreprise. Répondez à ces questions :

• la fuite de données informatiques peut-elle entraîner une perte de confiance des fournisseurs, clients, actionnaires ou toute autre partie prenante ?
• pensez-vous qu’une attaque cyber puisse porter atteinte à la réputation de l’entreprise ?

Globalisation de la gestion du risque cyber

Dernière thématique à aborder : la gestion du risque cyber à une échelle plus globale. Ainsi :

• avez-vous envisagé ou envisagez-vous la mise en place d’une politique globale de prévention des risques ?
• une analyse de vulnérabilité de l’entreprise est-elle devenue essentielle ?
• envisagez-vous la mise en place d’outils de transfert de risques de l’entreprise ?
• avant de vous renseigner auprès de Servyr, étiez-vous en mesure de définir précisément la notion de risque cyber ?

Etes-vous concerné(e) par la mise en place d’un contrat d’assurance cyber ?

Selon les réponses que vous aurez données, vous pourrez mieux évaluer vos besoins en matière de programme d’assurance cyber. Voici comment analyser vos résultats.

Si vous avez majoritairement répondu « non »

Les enjeux relevés sont essentiels pour vous et nécessitent un accompagnement particulier en ce qui concerne la gestion de vos risques, notamment en matière de conseils.

La mise en place d’un processus global de cyber résilience est vraisemblablement prématurée. D’autres solutions plus simples et adaptées peuvent être envisagées.

Si vous vous situez dans la moyenne

Vous êtes à mi-chemin de votre réflexion concernant la globalisation de la gestion du risque cyber.

Un programme d’assurance global pourrait répondre à la plupart de vos besoins essentiels et prioritaires. Il faudra, cependant, rester attentif au degré de maturité de l’ensemble des parties prenantes de votre entreprise.

Le choix de votre assureur ou courtier en assurance et de vos intermédiaires sera déterminant pour la réussite de votre projet.

Si vous avez majoritairement répondu « oui »

Vos besoins en matière de cyber résilience sont importants et requièrent une analyse approfondie de la nature du programme à mettre en place.

Votre maturité à ce sujet est évidente, ce qui vous permettra de vous orienter plus librement vers un programme global de gestion de vos risques.

Des montages plus complexes peuvent également être envisagés.

Vis-à-vis des pouvoirs publics

L’une des premières choses à faire après avoir subi une cyberattaque ou en cas de suspicion de cyberattaque, c’est de prévenir les autorités compétentes. Une cyberattaque n’a en effet rien d’anodin, et les pouvoirs publics doivent en être informés pour que des sanctions puissent éventuellement être prises contre les auteurs. En tant que victime de pirates de l’informatique, vous devez porter plainte et notifier l’incident.

Porter plainte

Toute cyberattaque représente une infraction aux technologies de l’information et de la communication définies par le Code Pénal et le Code Monétaire et Financier.

Vous devez déposer une plainte au plus vite auprès du service territorial de police ou de gendarmerie le plus proche de l’entreprise ou par courrier auprès du procureur de la République du Tribunal de Grande Instance de votre ressort géographique.

Lorsque votre entreprise est victime d’une attaque ou d’une suspicion d’attaque informatique, vous devez relever des preuves numériques de l’incident à l’aide de constatations techniques. Un spécialiste en cybercriminalité, nommé par les services de police, peut venir compléter vos observations lors de l’enquête.

Notifier l’incident

En cas de violation de données personnelles

Selon l’article 34 bis de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les fournisseurs de services de communications électroniques sont dans l’obligation de notifier l’incident à la Commission Nationale de l’Informatique et des Libertés (CNIL). En cas de risque d’atteinte aux données personnelles ou à la vie privée, le(s) intéressés(s) doi(ven)t être averti(s).

Attention, depuis mai 2018, les entreprises ayant des activités de traitement de données personnelles sont également concernées par cette obligation de notification à l’autorité compétente et aux intéressés.

En cas d’atteinte au système d’information

Selon l’article 22 de la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, le Premier ministre et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) doivent être informés de l’incident informatique pour les opérateurs d’importance vitale.

A la suite de la directive européenne 2016/1148, relative à la sécurité des réseaux et des systèmes d’information dans l’Union Européenne (SRI), les entreprises dites « d’opérateur de services essentiels » ou de « fournisseur de services numériques » sont aussi concernées par l’obligation de notification à l’autorité compétente.

Vis-à-vis de votre assureur

Autre personne à prévenir en priorité suite à un incident cyber : votre assureur. En effet, contactez au plus vite votre assureur ou votre courtier en assurance afin d’être accompagné face aux risques informatiques. Informez votre interlocuteur dédié avant de prendre toute décision qui pourrait impacter les conséquences de l’incident et la gestion de votre déclaration de sinistre. Votre assureur ou votre courtier sauront vous conseiller en tenant compte de la particularité de votre situation.

Face à la menace grandissante des cyberattaques, il est impératif pour les entreprises de mettre en place des mesures de protection préventives pour réagir efficacement lorsqu’un incident survient. Cependant, même avec la meilleure des préparations, aucun système n’est invulnérable. En cas d’attaque cyber, les pouvoirs publics sont des interlocuteurs clés, tout comme votre assureur ou votre courtier en assurance.

Des facteurs humains et organisationnels

L’analyse de votre exposition à ces nouveaux risques ainsi que la mise en place d’une politique de prévention sont les premières démarches à réaliser avant de transmettre le risque à votre assureur. Une personne au sein de votre entreprise, clairement identifiée, doit être en charge de la mise en place et du suivi de cette politique de management de cyber risque.

Sensibiliser ses collaborateurs et parties prenantes

Il est nécessaire de sensibiliser et de former vos collaborateurs aux bons réflexes contre les risques cyber, tout comme vos sous-traitants et vos prestataires, afin d’éviter qu’ils deviennent la faille de votre protection cyber.

N’hésitez pas à régulièrement leur rappeler ces règles simples mais primordiales :

• ne pas utiliser des appareils personnels comme des clefs USB, des disques durs externes ou des accès distants non sécurisés (wifi et Bluetooth),
• ne pas divulguer ses mots de passe,
• mettre en place des règles pour la consultation des mails ou pièces jointes douteux tels que les liens hypertextes ou inexplicables, les extensions .pif, .com, .exe, .bat ou .lnk.

Limiter la création de failles

La mise en place d’une véritable politique de gestion des droits, adaptée à la situation de votre entreprise, est nécessaire à sa protection. Vos mots de passe se doivent d’être individualisés, secrets, complexes (tel que 8 caractères avec des majuscules, des minuscules et des caractères spéciaux par exemple) et modifiés régulièrement afin d’éviter leur usurpation.

Vos logiciels sont également des accès pour des intrusions malveillantes. Leur mise à jour est donc essentielle pour limiter la création de failles.

Des outils de protection

La mise en place d’outils adaptés à votre activité permet également de protéger au mieux votre entreprise contre tout risque cyber.

Les antivirus, ou pare-feux, sont indispensables pour la protection de votre système d’information. Ils doivent être régulièrement et automatiquement mis à jour.

L’antivirus peut être complété par des outils de filtrage de type « Intrusion Détection Système » (IDS) et « Intrusion Protection Système » (IPS) qui sondent les entrées et sorties dans le but d’écarter une intrusion malveillante.

Enfin, des outils de détection comportementale peuvent vous aider à détecter d’autres intrusions malveillantes que les outils de surveillance ne sont pas en mesure d’arrêter. En effet, les téléchargements qui ont franchi l’antivirus sont analysés afin de déceler ceux qui agissent de manière suspecte comme, par exemple, les logiciels qui interrogent un grand nombre de répertoires de l’ordinateur, les « crypto logiciels ».

Des outils de résilience, pour une anticipation de la gestion de crise

Pour que votre entreprise reprenne rapidement son activité après une attaque, voici deux points à anticiper.

1/ La sauvegarde de données

Pour assurer la sauvegarde des données de votre entreprise, vous devez avant tout les sauvegarder régulièrement sur des supports et systèmes distincts de votre système d’information, c’est-à-dire un site différent de celui hébergeant déjà vos systèmes et données. Testez au moins une fois par an les restaurations de données, afin qu’elles soient opérationnelles.

Ces sauvegardes de vos systèmes d’exploitation et progiciels doivent suivre les recommandations des sites éditeurs ainsi que celles de vos prestataires informatiques.

2/ Le plan de continuité d’activité

En plus de la sauvegarde régulière de vos données, vous devez également avoir mis en place un plan de continuité d’activité. Voici un mode opératoire en trois points :

• rendre vos données, systèmes d’exploitation et applications critiques confidentielles ou personnelles,
• réfléchir à une procédure de gestion de crise en cas d’intrusion malveillante,
• identifier des collaborateurs (responsables, experts et communicants) mobilisables sans délai à tout instant, qui seront chargés de mettre en place les mesures d’urgence requises afin d’assurer la continuité ou la reprise de l’activité de votre entreprise.

Qu’est-ce qu’une donnée personnelle ?

Selon l’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, une donnée à caractère personnel représente toute information à propos d’une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, à l’aide d’un numéro d’identification ou d’un ou plusieurs éléments qui lui sont propres.

Quelles sont les cyberattaques les plus fréquentes ?

Les dénis de service, les crypto logiciels, les rançongiciels ainsi que les logiciels malveillants sont les moyens les plus fréquents d’attaque informatique.

Que signifie un déni de service ?

Une attaque par déni de service, ou attaque par déni de service distribué, consiste à saturer les capacités de traitement d’un système d’information ou d’un site internet à partir d’autres machines infectées afin de le rendre incapable de répondre aux requêtes des utilisateurs.

Qu’est-ce qu’un crypto logiciel ou rançongiciel ?

Un crypto logiciel, un rançongiciel ou encore un ransomware sont des programmes malveillants qui codent les données d’un système d’information. La clé de décryptage est le plus souvent transmise après paiement d’une somme sous forme virtuelle, telle que les bitcoins.

Qu’entend-on par logiciel malveillant ?

Un logiciel malveillant est un programme qui affecte le fonctionnement d’un système d’information. Les logiciels malveillants sont également appelés « virus », « vers », « chevaux de Troie », etc.

Mon entreprise est-elle totalement protégée si mon environnement bureautique est sécurisé ?

Non, pas complètement.

Selon les cibles visées, les pirates informatiques, ou « hackers » en anglais, peuvent aussi s’attaquer à votre informatique de gestion, telle que la comptabilité ou les fichiers du personnel, à votre informatique de process, comme les automates, mais également à vos installations de sécurité et de sûreté.

Le wifi, le Bluetooth ou les objets connectés représentent-ils un risque ?

Oui, ce sont des failles exploitables.

Vos données entrantes et sortantes de vos systèmes d’information sont très facilement accessibles via le wifi ou le Bluetooth, si elles ne sont pas cryptées de manière suffisamment sécurisée. Les objets connectés, quant à eux, multiplient les voies d’accès aux données et aux systèmes d’information de votre entreprise. Ce sont donc des failles que les pirates informatiques sont susceptibles d’exploiter.

Qu’est-ce que le « BYOD » ? Quels sont les risques liés à son utilisation ?

« Bring Your Own Device », ou « BYOD », signifie en français « apportez vos appareils personnels » afin de les utiliser à des fins professionnelles.

La sphère personnelle, présumée bien moins protégée et hors de contrôle de l’entreprise, mélangée au cadre professionnel, augmente les risques d’incidents informatiques. Les moyens d’accès aux données et aux systèmes d’information de votre entreprise, et donc les failles exploitables par des pirates informatiques, se multiplient à la suite de l’utilisation de « BYOD ».

Le cloud représente-t-il un risque ?

Oui. L’exploitation de systèmes d’information distants par l’intermédiaire d’un réseau, notamment interne, se traduit par l’hébergement de données à distance. Cette externalisation peut compromettre la maîtrise de données ou de tâches. Les risques de cette démarche doivent être analysés par votre entreprise. Une réflexion doit également être menée sur les conditions et les outils essentiels pour garantir la sécurité de ce service fourni par une entreprise prestataire.

Comment la cybercriminalité est-elle juridiquement punie ?

En France, un ensemble d’articles qualifie les infractions spécifiques aux technologies de l’information et de la communication, notamment :

• les articles 323-1 à 323-7 du Code Pénal concernant les atteintes aux systèmes de traitement automatisé de données (accès ou maintien frauduleux, entrave au fonctionnement, détention de matériel ou logiciel spécifique, groupement formé ou entente établie),
• les articles 226-13 à 226-20 du Code Pénal à propos des infractions à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (collecte frauduleuse, traitement de données à caractère personnel, usurpation d’identité numérique),
• les articles L163-3 à L163-12 du Code Monétaire et Financier concernant les infractions aux cartes bancaires (contrefaçon, falsification de moyens de paiement, détention de matériel ou logiciel spécifique),
• l’article 434-15-2 du Code Pénal relatif aux infractions au chiffrement (refus de remettre une clé de déchiffrement ou de la mettre en œuvre),
• les articles 226-1 à 226-4 du Code Pénal sur la violation de la vie privée par captation via un dispositif technique, la divulgation publique d’un enregistrement privé, la conception, l’importation, la location, la détention et l’offre d’outils de captation de la vie privée et des correspondances.

Qu’est-ce que l’ANSSI ?

L’ANSII est l’acronyme pour l’Agence Nationale de la Sécurité des Systèmes d’Information. Créée en 2009, elle représente l’autorité nationale pour la sécurité et la défense des systèmes d’information en France. L’ANSII aide les administrateurs, les acteurs économiques et le grand public dans la transition numérique. Elle se charge également de la promotion des technologies, des systèmes et des savoir-faire français en France et en Europe.

Qu’est-ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés a été créée en 1978 par la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés afin de contrôler l’utilisation des données personnelles.

Elle doit s’assurer, en tant qu’autorité administrative indépendante, de la protection et de la bonne gestion des données personnelles tout en accompagnant les entreprises et les particuliers lors de l’utilisation des nouvelles technologies.

La CNIL travaille main dans la main avec ses homologues européens du G29 et internationaux dans le but d’harmoniser la régulation du traitement des données personnelles.

RGPD et responsabilité des entreprises

Entré en vigueur en mai 2018, le Règlement Général sur le Protection des Données (RGPD) a pour objectif, à l’échelle européenne, de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données, qu’ils soient directement responsables ou sous-traitants.

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL), créée en 1978 par la loi Informatique et Libertés, qui se charge de la protection des données personnelles des fichiers et traitements informatiques ou papier, publics ou privés.

Cette nouvelle réglementation responsabilise les entreprises concernant les données personnelles qu’elles détiennent et prévoit des amendes « proportionnées et dissuasives ». Elles peuvent atteindre 4 % de leur chiffre d’affaires en cas de vol ou de compromission (chapitre VIII, article 83 du Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016). Par ailleurs, les entreprises supportent désormais une obligation de notification si une violation des données personnelles survient.

Conséquences financières

Les entreprises sont contraintes de prendre des mesures en matière de protection des données sensibles qu’elles détiennent sur leurs clients, leurs salariés ou encore leurs partenaires commerciaux. Mais au-delà de l’aspect organisationnel qui en découle, l’impact de cette loi pour les entreprises est financier.

Pour mieux en comprendre l’enjeu, prenons l’exemple de l’enseigne Darty. En 2017, la CNIL a relevé une réelle défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Au total, 912 938 fiches étaient potentiellement accessibles, avec des noms, prénoms, adresses postales, adresses mail et commandes.

L’enseigne aurait dû remédier à la situation, même en cas de recours à un sous-traitant, puisqu’en sa qualité de « responsable de traitement », Darty avait l’obligation de s’assurer et de vérifier que l’outil développé par son sous-traitant répondait à l’obligation de confidentialité énoncée à l’article 34 de la loi Informatique et Libertés.

A la suite de ces constatations, Darty a écopé début 2018 d’une sanction administrative à hauteur de 100 000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients.
Aujourd’hui, avec l’entrée en vigueur du RGPD, la sanction représenterait 4 millions d’euros minimum, et pourrait atteindre jusqu’à 19 millions d’euros. L’ordre de grandeur est tout à fait différent.

La protection des données à l’aune du risque cyber

Avec cette nouvelle responsabilité, les entreprises ont donc plus qu’intérêt à mettre en place les mesures nécessaires à la protection des données en leur possession, et ainsi se mettre en conformité avec la loi afin d’éviter de lourdes sanctions financières.

Dans un contexte de plus en plus numérique, la gestion sécurisée de ces données est essentielle pour prévenir tout risque de cyberattaque. Ainsi, les entreprises doivent régulièrement évaluer et renforcer leurs systèmes de sécurité pour faire face aux évolutions constantes des menaces cybernétiques.

La protection des données doit être considérée comme une priorité stratégique. Elle garantit non seulement la conformité réglementaire, mais aussi la préservation de la réputation et de la confiance des parties, ainsi que la pérennité financière de l’entreprise.

Estée Lauder : fuite de données internes

Plus de 440 millions de données du Groupe de cosmétique Estée Lauder se sont retrouvées en libre accès, au début de l’année 2020.

Ces données ne concernaient pas les clients de la marque, mais des informations internes à l’entreprise telles que des audits, des rapports, des adresses mails professionnelles, etc. Heureusement, le cyber incident en est resté là. Mais l’attaque aurait pu avoir de graves conséquences indirectes en affectant notamment la réputation du Groupe.

Selon un rapport d’Hiscox Assurances France sur la gestion des cyber risques, publié en décembre 2020, de nombreuses entreprises victimes de cyberattaques ont constaté une perte de confiance auprès de leurs prospects (15 %), de leurs clients (11 %) mais également de leurs partenaires commerciaux (12 %).

Easyjet : hacking sur les données personnelles des clients

En mai 2020, lors du premier confinement lié à la crise sanitaire, la compagnie aérienne britannique Easyjet a subi une attaque informatique.

Contrairement à Estée Lauder, les hackers ont eu cette fois accès aux informations personnelles de 9 millions de clients EasyJet à travers le monde. Ils ont obtenu des adresses électroniques et les détails de voyage, ainsi que les données des cartes de crédit de plus de 2000 passagers.

Easyjet a réussi à faire preuve de réactivité et pu rapidement entrer en contact avec les clients concernés pour les tenir informés des mesures de protection à suivre.

« Depuis que nous avons pris conscience de l’incident, nous avons compris qu’en raison du Covid-19, il y a de fortes craintes sur l’utilisation de données personnelles pour des arnaques en ligne », a déclaré Johan Lundgren, Directeur Général du Groupe.

L’Université de Californie à San Francisco contrainte de verser une rançon

La célèbre Université UCSF située à San Francisco, aux Etats-Unis, a été victime d’un ransomware qui a paralysé l’accès aux données de son réseau informatique, en juin 2020.

Les spécialistes informatiques de l’établissement n’ont pas été en mesure de stopper à temps la propagation du virus dans leurs systèmes d’information, malgré leur réactivité et la déconnexion des ordinateurs. L’Université a finalement dû se résoudre à payer une rançon d’environ un million d’euros.

Ce cas est malheureusement loin d’être isolé. En France, 18 % des entreprises déclarent avoir payé une rançon à la suite d’une cyberattaque, en 2019.

CMA CGM : deux cyberattaques la même année

Coup sur coup, en l’espace de six mois seulement, la compagnie de transport maritime CMA CGM a subi deux cyberattaques dont l’une, en septembre 2020, liée à l’intrusion d’un logiciel malveillant. Celle-ci visait les serveurs périphériques du Groupe. Une rançon a été exigée.

Immédiatement alertés par la faille, les services de la compagnie ont suspendu tous les accès externes afin d’éviter la propagation du virus informatique.

Ce cas montre qu’une attaque peut donc toucher deux fois la même entreprise à quelques mois d’intervalle. Pourtant, un tiers des entreprises seulement déclarent effectuer une évaluation régulière de la sécurité à la suite d’une cyberattaque, et seules 26 % adoptent de nouvelles exigences en matière de cyber protection.

SolarWinds victime d’une cyberattaque mondiale

L’éditeur américain de logiciels professionnels, SolarWinds, a subi une lourde cyberattaque en décembre 2020. La mise à jour de son logiciel Orion, destiné à la surveillance réseau et informatique, contenait un cheval de Troie.

Près de 18 000 clients sont devenus victimes de cette attaque en installant la mise à jour compromise.
Aux Etats-Unis, l’intrusion a donné accès aux systèmes de plus de 250 administrations, ministères (dont le Pentagone et la NNSA, qui gère l’arsenal nucléaire du pays) et grandes entreprises (Intel, Cisco, Nvidia ou encore Microsoft). Et cela s’est étendu à d’autres pays au Moyen-Orient, en Asie et en Europe.

Compte-tenu de l’ampleur du phénomène, qualifié de « cyberattaque historique », certains assureurs cyber ont refusé de garantir les entreprises utilisatrices du logiciel Orion, ou du moins ont conditionné la mise en place de la garantie.

Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est un acte malveillant qui vise les systèmes d’information ou les entreprises qui utilisent la technologie et les réseaux, dans le but de voler des données ou de modifier, voire détruire, un système.

Ce type d’incident informatique peut avoir de graves conséquences sur la protection des données à caractère personnel ou sur la survie économique de la société victime d’une cyberattaque. Pour donner un ordre d’idée, une cyberattaque coûte en moyenne 1,3 million d’euros à une entreprise, et entraîne une interruption d’activité de 15 jours.

Parmi toutes les formes de cyberattaques qui existent, les rançongiciels, ou ransomwares, sont particulièrement développés. Il s’agit de logiciels malveillants qui prennent en otage des données personnelles en bloquant, par exemple, l’accès à un appareil ou à des fichiers, et exigent le paiement d’une rançon pour en déverrouiller l’accès. En 2020, plus de 1000 entreprises ont constaté des fuites de données provoquées par un rançongiciel.

Risque accru depuis la pandémie

En pleine expansion partout dans le monde, la cyber malveillance a particulièrement profité de la crise liée à la Covid-19, accentuant ainsi les impacts en matière de cybersécurité.

La pandémie a en effet éprouvé les systèmes informatiques des entreprises, notamment avec la mise en place massive du télétravail. Les cybercriminels ont su tirer profit de la vulnérabilité de tous ces télétravailleurs contraints de travailler à distance pendant les confinements. D’ailleurs, d’après l’entreprise Acronis (solution de sauvegarde de données), les cyberattaques ont surtout visé les télétravailleurs et les fournisseurs de services gérés en 2021.

Et comme le télétravail s’est largement démocratisé depuis la pandémie, le phénomène se poursuit. Certaines recherches suggèrent que le travail à distance est devenu la source de 20 % des incidents de cybersécurité et que les rançongiciels sont en augmentation.

Danger pour toutes les entreprises

Le risque cyber est constant pour les grandes entreprises, qui sont régulièrement victimes de cyberattaques. En 2020, on estimait que près d’un tiers des multinationales (31 %) étaient visées par un cybercriminel au moins une fois par jour. Elles sont des cibles privilégiées et représentent 40 % des cyber extorsions en 2023.

Mais contrairement à ce que l’on pourrait croire, les cybercriminels ne visent pas uniquement les grands groupes. Toutes les entreprises, quelle que soit leur taille, sont concernées. La preuve : 48 % des entreprises touchées par des cyberattaques en 2023 étaient des PME. Une part qui augmente, puisqu’en 2022 elles ne représentaient « que » 40 % des attaques (source : Security Navigator 2024 d’Orange Cyberdéfense).

Que vous soyez une TPE, une PME ou une entreprise de plus grande taille, nous sommes donc tous concernés par le risque cyber. Heureusement, des bonnes pratiques permettent de limiter les dégâts, et Servyr peut vous accompagner pour protéger votre activité.