Dans une ère où les cyberattaques sont de plus en plus perfectionnées et les pirates mieux organisés, il est nécessaire de s’interroger sur la manière de s’y préparer et les conséquences que les attaques peuvent tant au niveau technique qu’humain. Dans le cadre de la 10ème édition des Débats du cercle, qui s’est tenue au Grand Hôtel Intercontinental à Opéra le 1er juin dernier, la cybersécurité a été abordée et plus particulièrement le rôle des directeurs juridiques lors d’une attaque, ainsi que les risques pour les entreprises.
Ces sujets ont été discutés par Caroline Chalindar-Giné, Directrice Pôle Influence et Relation Publique – Epoka, Arnaud Taddei, Security Transformation Architects Practice Leader - International - Broadcom Software Céline Leroy, Associée, Financial Expertise & Dispute Resolution - Eight advisor, dans un débat animé par Amélie de Braux, Co-responsable de la Factory du Cercle et Senior Corporate Counsel - EMEA – Proofpoint.
« La question n’est plus de savoir si nous allons être attaqués mais quand allons-nous être attaqués et comment s’y préparer »
Caroline Chalindar-Giné a rappelé qu’il était nécessaire de s’assurer que la situation était gérée au niveau stratégique et de consacrer des ressources et investissements conséquents. Ce point part du constat que, lors d’une attaque, les personnes essentielles à la gestion ne sont pas toutes disponibles, ce qui implique de trouver des backups et de les former à ce type de situations. Des réponses opérationnelles, des défenses techniques, une gestion organisationnelle de la communication, doivent également être mises en place en fonction de la nature de l’objectif des pirates, ces derniers étant de mieux en mieux organisés.
Ils mettent en place des attaques différentes, obligeant à des réponses différentes. L’attaque ciblée, prenant des années à être résolue, n’a pas le même objectif ou le même principe qu’une attaque de phishing, qui attaque le cerveau et non pas l’appareil électronique en lui-même. De même, une attaque combinée cherche plutôt à attaquer pour faire diversion et d’ensuite effectuer une attaque ciblée, comme l’a souligné Arnaud Taddei.
Quel est le rôle des assurances ?
Céline Leroy a donné son point de vue sur l’intervention, en amont et en aval, des assurances en cas d’attaque. Selon elle, le rôle des polices d’assurance se joue sur deux points : l’efficacité et le caractère efficient. Le premier se positionne plutôt sur l’interprétation des polices et donc être sûr que le système rentre dans les conditions prévues et n’est pas dans les conditions d’exclusion. Le second porte sur la couverture des enjeux majeurs auxquels il est fait face. En termes de cyberattaque, tout se joue en matière de mobilisation des backups, de responsabilité civile par rapport aux tiers pour tout ce qui concerne les sorties de données et pour l’assurance perte d’exploitation.
Néanmoins deux problèmes sont mis en avant par Céline Leroy : le manque de diversification du risque et le manque historique de visibilité, qui empêche notamment de mettre un prix sur le risque.
Quelles conséquences ?
Les impacts des cyberattaques sont mesurables en termes de perte de confiance, de valeur d’actifs, de chiffres d’affaires, ainsi qu’en matière de coûts supplémentaires. Les pertes d’exploitation sont, par exemple, estimées entre 2,6 % et 11,5 % annuellement. Données inquiétantes, amplifiées par le nombre d’entreprises survivant à ce type d’attaques, qui ne seraient d’une sur six.
Les intervenants de cet atelier ont conclu à la nécessité de mettre en œuvre des moyens humains et techniques afin de pouvoir gérer les cyberattaques. Il faut pouvoir gérer la crise techniquement mais il faut aussi voir l’après, comme l’a souligné Amélie de Braux.
Noémie Letellier
