Cercle Européen de la Sécurité et des Systèmes d'Informations
Tribune du Cercle

Cyber-sécurité et continuité d’activité : 4 questions à se poser sur les cyber-assurances

Publié le

Par Agnieszka Bruyère, Directeur Security Services, IBM France

Quand la cyber-sécurité s’invite dans les discussions au niveau de la direction générale, elle prend une nouvelle dimension : l’impact sur la continuité des opérations de l’entreprise et sur le business. D’où l’intérêt actuel pour les cyber-assurances qui  couvriraient les risques liés à la cyber-criminalité.

Cela amène à se poser plusieurs questions :

  1. Quel est le coût d’un incident de sécurité pour l’entreprise ?
  2. Quelle est la probabilité qu’un incident de sécurité se produise ?
  3. Est-ce qu’il existe des moyens opérationnels pour couvrir ce risque ?
  4. Quelle est l’implication au niveau de l’organisation et de la gouvernance ?

Quel est le coût d’un incident de sécurité ?

Estimer le coût est un exercice assez complexe et doit être réalisé au niveau de chaque entreprise. Selon l’étude Ponemon1, le coût d’un incident de sécurité en France portant sur le vol de données personnelles a été valorisé à 4,34 M€. Notez que les coûts directs représentent 54% et les coûts indirects liés à la baisse d’activité 46%. Cette baisse est non seulement due à l’indisponibilité du service mais avant tout à la perte des clients. Dans cette même étude, le taux de perte de clients a été évalué à 5,4% pour la France. C’est le plus élevé de tous les pays qui ont fait l’objet de l’étude.

Quelle est la probabilité qu’un incident de sécurité se produise?

Toujours selon l’étude Ponemon, elle est estimée à 22% pour un incident impliquant 10 000 dossiers2 et 1% pour un incident de 100 000 dossiers, sur les 24 mois à venir. C’est une probabilité bien plus élevée que celle d’un sinistre touchant par exemple les datacenters. Pourtant, les entreprises et les organisations investissent avant tout dans les moyens nécessaires pour assurer la continuité de l’activité plutôt que dans les dispositifs de sécurité. Même si l’impact en cas de sinistre est potentiellement plus important, il est primordial de se poser la question des investissements nécessaires en prenant en compte la probabilité et l’impact.

Est-ce qu’il existe des moyens opérationnels pour couvrir ce risque ?

A l’occasion des discussions autour de la cyber-assurance, il faut souligner la convergence entre le plan de continuité d’activité (PCA) et le plan de réaction et remédiation en cas d’un incident de sécurité. Le PCA  prévoit la mise en place des moyens nécessaires pour faire face à différents scénarios de sinistres. Ces moyens pourraient également être utilisés pour faire face à un incident de sécurité. Malheureusement, peu d’entreprises incluent dans leur PCA les scénarios liés aux incidents de sécurité. La prise en compte des scénarios de cyber-attaque dans le plan de continuité est le 2ème facteur après la formation des employés qui peut sensiblement limiter l’impact d’une telle attaque. 

Quelle est l’implication au niveau organisation et gouvernance ?

Même si la cyber-sécurité fait désormais partie de l’analyse des risques opérationnels de l’entreprise, la réflexion autour de la cyber-assurance permet à la fois d’évaluer l’exposition de l’entreprise aux risques et de les traduire en éléments quantifiables. Elle permet également de renforcer le dialogue entre les responsables des risques et ceux qui sont en charge des définitions des politiques et des moyens opérationnels pour faire face aux cyber-attaques. Enfin, cette réflexion permet d’établir les priorités en fonction des impacts sur les métiers et de faire les arbitrages budgétaires.

Pour conclure, la réflexion autour de la cyber-assurance est une opportunité pour les RSSIs, les responsables de sécurité opérationnelle et tous ceux qui se préoccupent au quotidien des cyber-attaques. Elle donne à cette problématique la dimension business qu’elle mérite pour attirer l’attention de la direction et lui permettre de prendre les décisions d’investissement nécessaires pour faire progresser le niveau de sécurité de l’entreprise.

Dernière publication

CrowdStrike a réalisé une enquête portant sur les cybermenaces touchant la chaine logistique. Réponses dans cet article. 

Lire