Juridique

GDPR : les cyber-risques mal mesurés et mal assurés

De gauche à droite : François Beaume, administrateur de l’AMRAE en charge des SI, et Guy Antoine de La Rochefoucauld, directeur administratif, financier et commercial, mandataire général, des Lloyd’s pour la France.

L'assureur Lloyd's a présenté une étude sur la perception des cyber-risques par les dirigeants d'entreprises à l'AMRAE. Le DSI et même le RSSI s'avèrent marginalisés dans la prise en compte stratégique et juridique de ces risques par la direction générale dans le contexte du GDPR (Règlement Général sur la Protection des Données dans l'Union Européenne).

Publicité« Si les gestionnaires de risques connaissent bien sûr le sujet, quel est le degré de compréhension des cyber-risques par les dirigeants ? » a cité Guy Antoine de La Rochefoucauld, directeur administratif, financier et commercial, mandataire général, des Lloyd's pour la France, pour expliquer la réalisation d'une étude sur le sujet par le groupement d'assurances britannique lors d'une présentation à l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise). Cet assureur revendique d'ailleurs 25 % des primes versées en matière de polices d'assurances contre les cyber-risques au niveau mondial. Pour François Baume, administrateur de l'AMRAE, « la question est de savoir qui va porter les messages sur ces risques et faire en sorte qu'ils soient traités par les entreprises. »
Or il semble bien que les DSI, et même les RSSI, soient largement marginalisés, cantonnés dans des rôles technologiques par les dirigeants d'entreprises. Le GDPR (Règlement Général sur la Protection des Données dans l'Union Européenne) entraîne pourtant une exposition des entreprises à de très sévères sanctions en cas de fuite de données. A cela s'ajoutent, plus classiquement, évidemment des risques sur l'exploitation même de l'entreprise, son image, etc. Une réaction des managers IT est impérative.

De multiples risques, de multiples assurances

L'AMRAE a travaillé sur une définition extensive et juridiquement précise des cyber-risques. On peut la résumer en parlant de toute atteinte au SI ou aux données, en interne ou confiés à des prestataires, suite à tout type de malveillance ou de panne, ayant entraîné un préjudice. Face à une définition aussi large, la réponse des assureurs est souvent de refuser une assurance autant extensive de type « tout sauf » pour proposer un « saucissonnage » sous la forme de diverses assurances couvrant chacune un type de risque.
« L'assurance est un transfert de risque et il faut que l'assureur puisse disposer de la garantie financière nécessaire, ce qui implique, conformément à Solvency II, de mesurer précisément son exposition aux risques, d'où une approche fragmentée » a justifié Guy Antoine de La Rochefoucauld. Il craint même que les cyber-risques, par leur possible accumulation à grande échelle en cas d'opération malveillante de grande envergure, soit l'équivalent moderne du risque de catastrophe naturelle en termes d'exposition au risque. L'approche des assureurs varie cependant selon les marchés, entre le Royaume-Uni, l'Europe continentale et les Etats-Unis notamment. On peut aller, selon les marchés, d'une série de risques nommés à une vision « tous risques sauf ». Pour une multinationale, cette différence d'approche doit être comprise et prise en compte.

Les données, le système, le SaaS : des questions s'accumulent

PublicitéLes risques sont très nombreux. On va de la malveillance d'un salarié interne ou d'un salarié d'un prestataire à la perte d'un smartphone avec des données sensibles. Mais il faut savoir contenir le périmètre du risque cyber. Typiquement, le hameçonnage dans une optique de « fraude au président » n'est pas un cyber-risque mais un risque de fraude. Les assurances contre le terrorisme supposent en général que l'acte soit revendiqué. « L'attaque contre France 5 n'était pas du terrorisme » a ainsi tranché Guy Antoine de La Rochefoucauld. De la même façon, les conséquences d'un bug relèveront plutôt de la responsabilité professionnelle. Il faut donc être très vigilant sur les définitions des risques couverts.
A cela s'ajoutent des difficultés qui renvoient aux fondamentaux du droit des assurances. Ainsi, une police contre les cyber-risques ne s'appliquera qu'à un système opéré par l'entreprise. Que se passe-t-il en cas d'incident sur un SaaS comme Salesforce ? La réponse est complexe. D'autant plus que deux types de risques différents doivent être pris en compte : l'arrêt du système et ses conséquences sur l'exploitation d'une part, l'atteinte aux données (vol, destruction...) d'autre part. Dans l'atteinte aux données, suite au GDPR, il faut prendre en compte les frais de l'obligation de notification aux personnes concernées, frais qui peuvent vite être élevés. Pour François Beaume, « le gestionnaire de risques doit monitorer précisément les risques et leur couverture. »

Qui prend les décisions ?

La situation est d'autant plus gênante qu'elle est non seulement très floue mais que les spécialistes de l'IT, DSI et RSSI, sont marginalisés par les dirigeants de l'entreprise. A la question « qui, dans votre organisation, prend les décisions concernant la protection et la planification des actions en cas de violation de données ? », les réponses des dirigeants sont affligeantes. Aucune liste n'était suggérée lors de l'enquête.
Le Chief Data Officer est ainsi totalement absent des réponses spontanées. Le DSI est mentionné dans 10 % des réponses, le RSSI dans 35 %. A l'inverse, le PDG est en tête (54% des réponses), devant le directeur financier (51%), le directeur exécutif (50%), le responsable de la confidentialité (49%), le gestionnaire de risques (47%), le directeur juridique (45%) et le directeur des opérations (39%). Les managers IT de l'entreprise sont bien en queue de liste !

Des risques méconnus voire négligés

Pourtant, la situation est grave. Ainsi, selon l'aveu même des dirigeants d'entreprises, 92 % des entreprises (90 % en France) ont subi une perte de données au cours des cinq dernières années. Mais 42 % (51 % en France) seulement des dirigeants s'en inquiètent. Si 97 % ont entendu parer du GDPR, 57 % admettent mal connaître ce texte qui, pourtant, expose leurs entreprises à des amendes pouvant atteindre 4 % du chiffre d'affaires mondial.
Les risques qui font peur aux dirigeants ne sont pas forcément les plus graves ou les plus fréquents. Ainsi, 51 % craignent un « hacking » à des fins financières (68 % en France), 41 % de la part d'un concurrent (61 % en France), 46 % à des fins politiques (52 % en France). 37 % (52 % en France) craignent les ransomwares. Les erreurs humaines internes ne sont redoutées que par 41 % des dirigeants (48 % en France). De ce point de vue, les différences sont nombreuses et nettes selon les pays.
Malgré toutes ces négligences et méconnaissances, 93 % des dirigeants estiment que leur entreprise est prête à réagir en cas de crise. 89 % le seraient en cas d'atteinte à la réputation et 87 % prendraient bien en compte le risque réglementaire. Cet optimisme confine à la naïveté coupable au regard des autres résultats.

A propos de l'étude

Les Lloyd's ont commandé l'étude « Faire face aux risques cyber » basée sur une enquête réalisée auprès de 350 dirigeants d'entreprises européennes ayant un chiffre d'affaires supérieur ou égal à 250 millions d'euros. Il s'agissait de savoir comment ils se préparaient à la mise en oeuvre du GDPR, quelles stratégies et mesures étaient mises en oeuvre dans leurs entreprises et comment l'assurance entrait dans cette stratégie pour protéger leur activité.

CIO organise des Matinées Stratégiques en 2017 sur ces thèmes :
- 28 février 2017 : Cybersécurité - Menaces évidentes, menaces cachées.
- 17 octobre 2017 : Patrimoine Data - Quand l'existence de l'entreprise est en jeu.
- 21 novembre 2017 : La sécurité à tous les niveaux - De la sécurité technique à la gestion de crise.