Si
certains assureurs proposent aujourd'hui des contrats
aux entreprises pour les garantir contre les dégâts
informatiques ayant une cause matérielle (une
fuite inondant une salle blanche par exemple), aucun
en revanche n'offre de couvrir les risques informatiques
résultant d'un déni de service ou d'une
indisponibilité prolongée de réseau.
Et pour cause : comment mesurer le risque et à
qui imputer la faute dans ce cas ? C'est pour répondre
pour partie à ces questions que Marsh Consulting,
branche conseil de Marsh
MMC, a mis au point un outil de modélisation
des risques informatiques "immatériels"
baptisé Net-Scoring, qui pourrait bien constituer
un pas décisif dans la couverture prochaine de
ce type de risques par les grands assureurs.
Un
terrain encore en friche
"Nous sommes presque aujourd'hui en
terra incognitae", résume Jean-Laurent Santoni,
responsable de la division Risques et Assurances des
Systèmes d'Information de Marsh Consulting, créée
en juillet 2000.
"Dans le meilleur des cas, si vous subissez des
pertes dues à une dégradation matérielle,
un assureur vous indemnisera pour l'opération
de backup de vos données", ajoute le responsable
de la division, qui ne voit dans cet état de
fait que le symptôme de la jeunesse des technologies
Internet. Aussi l'ambition de Net-Scoring est-elle de
remédier à cette absence, en fournissant
aux entreprises un instrument d'analyse et de mesure
des présomptions de vulnérabilités
de leurs SI, instrument qui pourra être ultérieurement
utilisé par les assureurs et les réassureurs
pour établir des polices d'assurance pour leurs
clients. Pour ce faire, le logiciel de Marsh Consulting
repose sur une analyse selon trois axes.
L'analyse
de l'infrastructure du réseau IP
Premier axe, l'audit d'infrastructure, qui
consiste en une analyse des vulnérabilités
du système d'information. Celle-ci est établie
en examinant cinq catégories logiques de sécurité
: le contexte général, la continuité,
la sécurité télécom, celle
d'Internet, et celle des applications. Ces catégories
se subdivisent elles-mêmes en solutions auditables
qui correspondent à des points précis
du réseau Internet de l'entreprise auditée.
Pour prendre un exemple, on trouvera dans le groupe
"Continuité" cinq sous-parties, dont
l'une nommée "Redondances" qui passera
en revue l'ensemble des systèmes à tolérance
de panne, des éléments redondants ou des
dispositifs de mirroring mis - ou non - en place. Cette
première analyse sous forme binaire (présence/absence
d'un élément) sera pondérée
en fonction de certains paramètres que Marsh
garde secrets. En fonction de ces résultats,
une cotation est ensuite établie sur une échelle
allant de 0 à 5 pour évaluer le risque
encouru par le système.
La définition des responsabilités
juridiques
Second
point, un audit "d'infostructure" est mené
en parallèle.
Il s'agit de reconstruire la chaîne des processus
et des engagements contractuels qui sont en jeu dans
le site Web de l'entreprise (entre le fournisseur d'accès,
l'hébergeur, le concepteur du site, etc.). L'objectif
ici est de déterminer à qui est imputable
la responsabilité de la faute en cas de perte
des données ou de perte de confidentialité
notamment, au regard de l'évolution de la jurisprudence.
Ce point représente avec l'audit d'infrastructure
la base du référentiel de Net-Scoring,
par définition statique (on ne change pas son
infrastructure tous les quinze jours). Ce socle est
complété par un versant qu'on dira a contrario
"dynamique", qui constitue le troisième
et dernier axe de l'analyse de Net-Scoring.
L'analyse dynamique du réseau
Pour ce faire, Net-Scoring
réalise une analyse régulière des
vulnérabilités recensées (alertes
du CERT,
patchs des éditeurs, etc.), via Intranode,
qui agit en qualité de partenaire. Intranode
utilise son logiciel de surveillance ActiveSentry pour
se connecter aux URL des sociétés auditées
et fournit un rapport circonstancié à
Marsh, dont les résultats sont intégrés
dans le référentiel de Net-Scoring. Enfin,
ces derniers sont complétés par une analyse
de performance du site (temps de connexion TCP, temps
de chargement des pages, temps de latence, etc.) mesurée
à l'aune des temps moyens observés chez
les fournisseurs d'accès. Cette étude
est prise en charge par IP-Label,
via son système de surveillance Datametrie qui
repose sur un panel de plus de 500 sites.
Evaluer
c'est bien, chiffrer c'est mieux !
A l'heure actuelle,
les résultats issus de ces trois axes d'analyse
sont moulinés par la matrice Net-Scoring et donnent
lieu à des rapports de synthèse qui sont
vendus aux sociétés auditées (15
000 euros). Mais l'objectif final va un cran plus loin
: à terme, ce sont les companies d'assurance
qui sont visées. Et là, les choses se
compliquent. Une fois le risque théorique évalué,
il faut en effet le chiffrer au regard des préjudices
et pertes financières dues à l'interruption
ou la dégradation de l'activité de l'entreprise.
"C'est le travail des BSC - Business Continuity
Planning - qui constitue le pôle complémentaire
du risk management et qui reste à faire",
explique Jean-Laurent Santoni. "Mais certains assureurs
comme Axa
ou Ace
Europe ont déjà agréé
Net-Scoring comme outil d'évaluation depuis un
an environ", précise le responsable Risk
Consulting de Marsh France.
Une question importante demeure pourtant en suspens
: les entreprises qui souhaiteraient être assurées
pour leurs risques accepteront-elles d'être auditées
par les partenaires d'un courtier en assurance dont
les clients sont, dans une large mesure, les assureurs
eux-mêmes qui fixeront le montant des primes d'assurance
? Jean-Laurent Santoni se veut optimiste : "Nous
n'aurions rien à gagner en trichant : il en va
de notre crédibilité comme de celles de
nos partenaires de rester objectifs". Ne reste
donc plus qu'à convaincre les assureurs.
|