Nederlands | Français Belgium

Les mesures contre les risques cybernétiques peuvent devenir un problème majeur pour les sous-traitants de grandes entreprises

 
 

Bruxelles, le 22 janvier 2018 – Pour 2018, Aon prévoit que les grandes entreprises se protégeront beaucoup mieux contre les cyber-attaques. C’est ce qu’il ressort du rapport “2018 Cyber Security Predictions” de Stroz Friedberg, une plate-forme d’expertise spécialisée du réseau Aon. Ces efforts particuliers sont notamment liés à l’entrée en vigueur de la réglementation « GDPR » en mai 2018. Le « GDPR » (Règlement Général relatif à la Protection des Données) dicte aux entreprises la façon dont elles doivent protéger leurs données. Si elles ne se soumettent pas à cette obligation, elles risquent des amendes élevées et une détérioration de leur image.

Des mesures de sécurité plus strictes sont non seulement un défi pour les grandes entreprises mais également pour leurs sous-traitants et leurs consultants externes qui doivent eux-mêmes prendre toutes les mesures nécessaires pour se préparer à l’entrée en vigueur du « GDPR ». Tous les sous-traitants doivent s’adapter au niveau de protection et de gestion des données de leurs clients. Les exigences minimales sont plus complexes et donc seuls les fournisseurs de services spécialisés et leur personnel (hautement) qualifié entreront en ligne de compte. Les clients ne prendront pas de risques et soumettront leurs sous-traitants à un screening plus rigoureux. L’un des thèmes sensibles est la croissance rapide de l’Internet des Objets (IdO). De plus en plus souvent, les appareils connectés entre eux sont autant d’opportunités pour les pirates de pénétrer dans les systèmes de grandes entreprises via les fournisseurs.

D’après Aon, le nombre d’actions en responsabilité pour les conséquences de cyber-attaques augmentera considérablement, tant de la part des actionnaires que de celle des clients. Dans la foulée de cette nouvelle réglementation, les assureurs développeront des garanties et des polices de plus en plus spécifiques qui permettront de se prémunir contre les conséquences des cyber-attaques dans leur ensemble. Actuellement, ne sont généralement assurés que les risques les plus spectaculaires comme le vol d’identité ou les dommages directs propres à l’entreprise. Les choses évoluent désormais en vue de couvrir également les entreprises contre les conséquences de cyber-attaques chez leurs fournisseurs et contre les risques spécifiques liés à l’IdO.

L’étude d’Aon révèle que 87 % des risk managers considèrent le risque de cyber-attaques comme une priorité absolue. Seulement 24 % indiquent toutefois que leur entreprise est suffisamment assurée.

“L’année dernière, le virus WannaCry et l’attaque de la société d'évaluation de crédit Equifax ont tenu en haleine les médias internationaux des semaines durant, explique le cyber-expert d’Aon Belgium Raf Duyver. « Ce sont surtout les cas spectaculaires qui font les choux gras de la presse mais le nombre d’entreprises confrontées à une cyber-attaque est en réalité beaucoup plus élevé. « Une cyber-attaque réussie exerce un impact sur la production et sur tous les départements d’une entreprise et donc également sur les résultats. Pour les entreprises cotées en bourse, une cyber-attaque peut affecter négativement la valeur de l’action avec, comme conséquence, des actionnaires mécontents. La cyber-sécurité est encore trop souvent gérée par le département informatique. Pourtant, elle doit faire partie intégrante de l’ADN de l’entreprise. Dans ce cadre, la fonction de Chief Risk Officer est d’une importance capitale. Il peut s’assurer que tous les responsables de l’entreprise comprennent correctement l’impact des cyber-attaques et développent ensemble une stratégie de défense cohérente.

L’utilisation de logiciels malveillants de type ransomware connaît une croissance exponentielle
Les attaques de logiciels malveillants de type ransomware, qui sont des programmes qui bloquent les données et les connexions d’une entreprise, ont augmenté de 400 % en 2017. Leur coût pour les victimes s’élevait à environ 5 milliards de dollars. Les pirates demandent un paiement en crypto-monnaie pour déverrouiller les ordinateurs. Les entreprises qui ne se soumettent pas à cette demande peuvent perdre définitivement leurs données. Aon prévoit également une nouvelle augmentation des attaques par ransomware en 2018. Aon recommande notamment aux entreprises de scinder leurs réseaux en segments afin de limiter l’impact de ces attaques.

La connexion grâce à une combinaison de méthodes de protection en passe de devenir la nouvelle norme
Sur base de données dont dispose Aon, il apparaît que 81 % des piratages informatiques en 2017 ont été rendus possibles par l’utilisation de mots de passe volés ou trop peu sécurisés. Voilà qui explique la forte tendance à la protection biométrique. La vérification des empreintes digitales et les scans de l’iris sont notamment utilisés pour protéger l’accès aux systèmes. Mais ce n’est pas non plus une solution infaillible. Aon prévoit qu’un nombre sans cesse croissant d’entreprises choisiront une combinaison de méthodes faisant appel simultanément à des mots de passe et à une identification biométrique. Une série d’organismes financiers contrôlent même les tendances spécifiques dans le comportement de leurs clients, par exemple la façon dont ils utilisent la souris de leur ordinateur. Dès qu’ils repèrent des anomalies, ils contactent le client. Toutefois, Aon suppose que les pirates informatiques développeront eux-mêmes de nouvelles méthodes pour craquer ces protections combinées.

Les programmes de fidélité dans la ligne de mire
En 2016 et 2017, des entreprises avec d’importants systèmes de fidélisation de la clientèle ont été confrontées à un nouveau phénomène. Les pirates informatiques tentent d’entrer dans ces systèmes pour accumuler des points. Ils peuvent ainsi par exemple réserver des vols moins chers auprès d’une compagnie aérienne ou acheter des smartphones à un prix très réduit. Aon s’attend à ce que les entreprises s’arment contre ces pratiques au moyen de programmes dits « bug bounty ». Celui qui signale un bug à une entreprise reçoit une incitation (financière) et une reconnaissance. Les programmes « bug bounty » sont une technique bien connue aux USA qui progresse à présent dans les entreprises européennes. En 2017, la Commission européenne a lancé son premier programme « bug bounty » avec des primes qui peuvent atteindre 5000 euros.