Entre transformation digitale et recrudescence de cyberattaques, Astrid-Marie Pirson, spécialiste du numérique de l’assureur Hiscox, revient sur le paradoxe soulevé par cette révolution en marche.
Astrid-Marie Pirson (Hiscox) : « La cyberextorsion est la grande tendance »
[À l'occasion de l'ouverture des journées de l'Amrae, le magazine Décideurs s'est penché sur l'univers des risques en entreprise. Rencontre avec les principaux experts du secteur].
Décideurs. Entre 2014 et 2015 le nombre de cyberattaques a augmenté de 51 %, cette tendance s’est-elle aggravée ?
Astrid-Marie Pirson. Compte tenu de la prise de valeur considérable des données, les cyberattaques ne pourront qu’augmenter en nombre, envergure et efficacité. Le « business » de la cyberextorsion est très lucratif. Le hacker va crypter les données et demander une rançon à son propriétaire. Ce kidnapping des données est la grande tendance. Le problème est que l’attaque a toujours un temps d’avance. Bien que les entreprises et les particuliers aient pris conscience de cette menace, peu de moyens sont mis en œuvre. Il ne faut pas pour autant tomber dans la paranoïa, le risque cyber fait partie de notre société, comme les incendies … Et le numérique permet des avancées fantastiques !
« En sinistre cyber, la pire des erreurs est de penser que cela n’arrivera jamais »
Quels sont les mauvais réflexes à éradiquer avant et après la survenue d’un sinistre cyber ?
Que ce soit en amont ou en aval d’un sinistre cyber, la pire des erreurs est de penser que cela ne nous arrivera jamais. Absolument toutes les données ont de la valeur. Dans ce sens, une méthode est à bannir : la cartographie des risques virtuels. C’est la segmentation des données en fonctions de leur prétendue sensibilité. Même les atteintes à de « petites » données entraînent de gros dommages. Un sinistre par définition ne peut être évité, on doit le rendre moins douloureux. Après sa survenue, la manière d’agir dépend de la typologie de l’attaque subie. Il faut être vigilant sur la manière de communiquer après le vol de données. Employer n’importe quel ton sur n’importe quel canal est une erreur à proscrire. C’est l’exemple de Sony qui s’était fait hacker des données bancaires et des identifiants Playstation network. La société avait nié, puis avoué à demi-mots … Avant de subir une nouvelle attaque 18 mois après, à peine remise !
Pour prévenir la survenue de risques informatiques, proposez-vous à vos clients des prestations ciblées ?
Nous avons des produits spécifiques de cyberassurance. Nos polices sont élaborées en collaboration avec des experts en assurances et avocats, ces derniers sont à disposition de nos clients. Un volet sensibilisation est à ne pas omettre. Quand un client souscrit en ligne une assurance cyber, il remplit un formulaire. Si ce potentiel souscripteur coche des cases « non » à des questions basiques de sécurité comme « Connaissez-vous le nombre de données que vous possédez ? », cela lui fait prendre conscience des risques qu’il encourt.
Comment un assureur peut-il construire des produits d’assurance dans un univers aussi mouvant que le cyberespace ?
Le risque cyber est récent, nous avons peu de recul sur cette question. Cependant, même s’il existe beaucoup de manières de cyberattaquer, les conséquences en sont souvent les mêmes. Nos produits évoluent et gagnent de plus en plus en crédibilité en fonction des personnes avec qui nous travaillons. Les conseils, les experts mais aussi les clients nous font énormément de retours sur nos contrats d’assurance. D’ailleurs nous mettons à jour nos polices de cyberassurance en ce moment pour faire face à ces problématiques cruciales.
Propos recueillis par Paul Demay
