Que faire en cas de cyberattaque?
Les grandes entreprises ne sont pas les seules à être exposées aux cyberattaques. Par conséquent, les PME aussi ont besoin d’un plan d’urgence en cas de cyberattaque, explique Gunthard Niederbäumer, chef du département des sinistres et de la réassurance au sein de l’ASA.
1. En Suisse, les cyberrisques provoquent des dommages de l’ordre de 9,5 milliards de francs. Comment se décomposent ces coûts?
Une étude réalisée par McAffee en 2014 estime à plus de 400 milliards de dollars américains les coûts générés au niveau mondial par les cyberrisques. Nous en avons donc extrapolé les coûts pour l’économie suisse. Ces coûts comprennent les cyberdommages ainsi que ceux entraînés pour la protection et la défense contre les cyberrisques. Outre les dépenses résultant des dommages causés au matériel ou aux logiciels informatiques, il s’agit aussi des coûts liés, par exemple, à la perte de la propriété intellectuelle, au vol de placements de capitaux et de secrets professionnels sensibles, ou encore des coûts d’opportunité, c’est-à-dire lorsque les bénéfices attendus n’ont pas pu être réalisés. A cela s’ajoute les frais de sécurité du réseau et de reconstitution des données nécessaires à l’exploitation de l’entreprise ainsi que les frais impliqués par les potentiels dommages d’atteinte à la réputation. Il est important de noter qu'il s’agit là d'une estimation grossière ayant pour unique objectif de mettre en lumière l’ordre de grandeur de l’ensemble de tels frais.
Gunthard Niederbäumer, chef du département des sinistres et de la réassurance au sein de l’ASA.
2. Les assureurs privés prônent une sensibilisation accrue de l’opinion publique. A votre avis, quelles sont les mesures les plus urgentes?
A l’automne 2017, l’ASA a mandaté une étude conjointement avec d’autres associations afin de déterminer le degré d’inquiétude et de sensibilisation des dirigeants des PME suisses face aux menaces liées aux cyberrisques. Comme le montrent les résultats, il est grand temps d’agir : les PME, justement, pensent souvent qu’elles sont trop petites et trop insignifiantes pour être « intéressantes » pour des cyberattaquants. Or, plusieurs attaques d’hôtels, de maisons de retraite ou encore de copyshops nous ont appris une chose : aucune entreprise n’est à l’abri de cyberattaques. Nombre de ces entreprises ne prennent même pas les mesures de protection élémentaires contre les menaces émergeant du cyberespace, comme l’actualisation régulière de leur protection antivirus ou la planification de sauvegardes périodiques. Beaucoup de PME n’ont d’ailleurs pas défini de plan d’urgence en cas de cyberattaque. Il est impératif de changer les mentalités.
3. Les compagnies d’assurances sont-elles bien équipées contre les cyberrisques?
Les compagnies d’assurances investissent énormément dans leur propre sécurité. Elles surveillent en permanence la situation en termes de menaces et se montrent réactives face aux nouveaux dangers. Suivre le rythme des évolutions technologiques avec lesquelles les attaquants potentiels opèrent constitue déjà une gageure en soi. Les compagnies d’assurances ont donc défini des plans d’urgence précisant leurs modalités de réaction en cas d’attaque. En principe, les assureurs sont bien protégés contre les cyberattaques, car ils veillent en permanence aussi à assurer leur propre sécurité. Le traitement des données fait partie intégrante des affaires d’assurances, et la sécurité des données est l’une des principales promesses des assureurs. En effet, il est essentiel pour les assureurs que leurs clients puissent leur faire confiance lorsqu'il est question du traitement des données.