Lutter contre la cybercriminalité est aussi une question d’assurance

Pour beaucoup d’entreprises, les risques liés à la cybercriminalité font partie d’une réalité douloureuse. Elles doivent faire preuve de vigilance pour se protéger ainsi que leurs clients de tous les dangers: des virus au vol de données en passant par les attaques en déni de service et la cyber-extorsion.

Nasdaq OMX, la société qui opère la bourse du Nasdaq, a été victime d’une attaque informatique en début d’année 2011. En février, elle a signalé que des pirates avaient pénétré ses systèmes, bien qu’ils n’aient pas pu accéder à la partie qui traite les échanges. Le ver Stuxnet, découvert dans la centrale nucléaire de Natanz en Iran en juin 2010, est un autre exemple des dégâts encourus. Ce virus visait les centrales nucléaires et hydroélectriques exploitées sous des systèmes dédiés configurés pour contrôler et suivre des processus industriels spécifiques. Il aurait pu occasionner des dégâts considérables et personne n’y était préparé.
Mais si le problème est évident, de nombreuses entreprises pensent que cela n’arrive qu’aux autres et continuent de prendre le risque.
Les changements de législation peuvent contribuer à sensibiliser l’opinion à l’égard des risques encourus. La Commission européenne a engagé la révision de la Directive en matière de protection des données à caractère personnel (rédigée au début des années 90 alors que la cybercriminalité ne posait aucun problème) pour prendre en compte les nouvelles technologies telles qu’Internet et le Cloud Computing et harmoniser les règles à travers les pays de l’UE. L’étude de la législation des États-Unis donne une bonne indication de la direction que prend l’UE. Elle exige notamment la notification, la gestion des crises et, pour certains secteurs, le suivi des dossiers médicaux et de crédit. Elle place une plus grande responsabilité sur l’entreprise à qui elle impose de prendre les mesures nécessaires pour protéger les données. La façon dont une entreprise doit réagir en cas de violation des données en est le parfait exemple, même si elle ne fait que suspecter une violation, l’entreprise doit en informer toutes les personnes ayant pu être affectées. Bien qu’il soit probable que l’UE subisse les mêmes menaces, la législation de l’UE ne devrait pas être aussi poussée que celle des États-Unis.
Que les propositions de l’UE incluent ou non ces responsabilités additionnelles, étant donné les préjudices potentiels que peuvent occasionner ces risques, peu de sociétés prennent pourtant les mesures qui s’imposent et savent ce qui pourrait arriver en cas de défaillance de la protection. La sécurité est souvent perçue comme une solution complémentaire en cas de problème ou d’exigence règlementaire.
Outre le fait de prendre toutes les mesures nécessaires pour sécuriser les systèmes et protéger les données, l’assurance a également un rôle à jouer. L’une des problématiques liées aux données et à Internet est l’évolution constante des menaces. Il est donc impossible de sécuriser totalement l’environnement informatique. Les entreprises sont confrontées à des menaces en constante évolution qui rendent impossible la garantie d’un système sécurisé. Il est donc véritablement nécessaire de s’assurer contre ces risques. Pour évaluer le risque, les clients remplissent un questionnaire permettant d’évaluer la façon dont l’entreprise gère ses données et la sécurité qui est en place pour empêcher les cyber attaques. Dans la mesure où les virus évoluent, il est impossible d’assurer une sécurité à 100%, mais le rôle de l’assureur est de vérifier que les sociétés prennent les mesures qui s’imposent pour sauvegarder leurs données et leurs systèmes. Or bien souvent dans le domaine la protection de la confidentialité, la gestion des risques et l’assurance sont négligées, même si depuis ces dix-huit derniers mois, les entreprises prennent de plus en plus conscience de la nécessité de souscrire une assurance. La situation est comparable à celle du marché des États-Unis il y a trois à quatre ans et la prise de conscience augmente. Le processus est éducatif, mais grâce au renforcement de la législation et aux bruits qui courent concernant les risques, il gagnera sûrement en importance.