Devançant l’espionnage et le blanchiment d’argent, la cybercriminalité est, selon une étude récente(*), le deuxième type de fraudes connues par les entreprises en termes de fréquence – autant que la fraude comptable et la corruption. Les entreprises commencent à prendre la mesure du risque encouru.
Cybercriminalité contre eldorado des données
En mars 2011, Sony confirme que son réseau de jeu en ligne, le play station network, a été piraté. Les coordonnées bancaires de 77 millions de comptes pourraient avoir été dérobées. En avril, aux États-Unis, Epsilon, entreprise de marketing en ligne, se fait voler 100 millions de données, dont les noms et adresses de clients de groupes bancaires. En Espagne, Nintendo résiste au chantage d’un pirate menaçant de publier les données personnelles de 4 000 clients de l’entreprise. Ce dernier a été arrêté.
Les données clients sont le nouvel eldorado d’une économie numérisée, elles contribuent à la valeur d’une entreprise. Leur protection est cruciale.
Regroupant les actes frauduleux réalisés à l’aide d’ordinateurs et Internet, la cybercriminalité explose : en 2011, 23 % des entreprises dans le monde déclarent en être victimes, contre 1 % en 2009. 29 % des entreprises françaises en ont été les victimes, la banque, l’assurance et les télécommunications en tête des cibles privilégiées.
Mal protégées
« La cyber criminalité connaît une recrudescence certaine, notamment en ce qui concerne l’usurpation d’identité pour la réalisation de fraudes. Le travail d’investigation, qui consiste en un mapping des connexions, est alors tentaculaire du fait des ramifications nombreuses, complexes et internationales », précise ainsi Stéphanie Lhomme, directrice générale adjointe EMEA chez Kroll, spécialiste notamment de l‘investigation anti-fraude. Les entreprises, concernées par ces fraudes et qui placent elles-mêmes ce risque dans leurs préoccupations principales, sont pourtant mal protégées : une entreprise sur quatre déclare n’avoir mis en place aucun dispositif de prévention et de détection des risques de cybercriminalité. Leur démarche est plus réactive que proactive : 52 % indiquent n’avoir recours à des experts externes qu’après avoir connu un cas. S’il est difficile de savoir avec précision les chiffres des montants investis dans la sécurisation des systèmes et des données, le Cercle de la sécurité estimait en 2010 que 50 % des très grandes entreprises disposaient d’un budget de moins de 500 000 € par an pour ces questions. La sécurité informatique représenterait environ 3 % des investissements informatiques d’une entreprise.
Le risque le plus perturbant
Or, comme l’explique Gilbert Cannameras, président de l’Amrae, « la cybercriminalité est probablement le risque le plus perturbant pour l’entreprise. Les fraudes informatiques sont à présent de taille et ont des impacts conséquents. Ce risque n’est pas nouveau, en revanche sa dissémination est beaucoup plus rapide. On parle de réels franchissements de seuils : les montants concernés sont gigantesques, les univers touchés très variés. » Outre la protection de données économiques sensibles pour l’entreprise et sa compétitivité, se pose la question, non moins importante, de sa réputation : « L’entreprise se doit de prévenir publiquement le consommateur dès qu’une base de données le concernant a été accédée, ce qui soulève un enjeu de réputation grave », précise Gilbert Cannameras.
Assurances
Les compagnies d’assurance se sont emparées de ce risque en créant des couvertures dédiées. En France, XL Insurance inclut des garanties responsabilité civile, dommages et violations de données à son offre contre les risques de cybercriminalité. Nassau, quant à elle, propose dans son contrat Cyberprotect couverture et sécurité informatique, qui allie détection en amont et indemnisation si besoin. Quoi qu’il en soit, devant la faible fiabilité des données de la cybercriminalité, en nombre et en montants, les assurances sont encore bien en peine de proposer des garanties à la hauteur des potentiels sinistres… Une meilleure quantification des risques de cybercriminalité permettra aux compagnies de définir des lignes de garanties mieux adaptées.
Implication des collaborateurs
Aussi, la première arme de protection vient de l’intérieur. Les contours de définition de l’informatique en entreprise sont de plus en plus flous : le collaborateur n’a pas uniquement accès à un système fermé propre à l’entreprise mais bien à une multitude de points de contact, notamment via son smartphone. En l’état, la prise de conscience des employés et leur implication dans la sécurité informatique de l’entreprise est fondamentale. Et bien souvent, il suffirait d’adopter de simples réflexes de verrouillage. Une enquête d’Avira, expert en sécurité informatique, menée en septembre 2011, révèle que 38,95 % seulement des sondés confirment adhérer aux règles de sécurité de leur entreprise et estiment que tous les salariés sont concernés et doivent rester vigilants, autant que de personnes (35,42 %) à connaître les règles de sécurité mises en place par leur direction, sans avoir le sentiment que quiconque se préoccupe véritablement de leur application.
Pour autant, les risk managers semblent prendre la mesure du risque : l’atelier qui y était consacré aux Rencontres de l’Amrae des 8, 9 et 10 février 2012 comptait parmi les plus courrus.
(*) Étude “Global Economic Crime Survey 2011”, PwC
Lire aussi notre entretien avec les intervenants de l'atelier Cybercriminalité des Rencotnres de l'Amrae (février 2012)
Les données clients sont le nouvel eldorado d’une économie numérisée, elles contribuent à la valeur d’une entreprise. Leur protection est cruciale.
Regroupant les actes frauduleux réalisés à l’aide d’ordinateurs et Internet, la cybercriminalité explose : en 2011, 23 % des entreprises dans le monde déclarent en être victimes, contre 1 % en 2009. 29 % des entreprises françaises en ont été les victimes, la banque, l’assurance et les télécommunications en tête des cibles privilégiées.
Mal protégées
« La cyber criminalité connaît une recrudescence certaine, notamment en ce qui concerne l’usurpation d’identité pour la réalisation de fraudes. Le travail d’investigation, qui consiste en un mapping des connexions, est alors tentaculaire du fait des ramifications nombreuses, complexes et internationales », précise ainsi Stéphanie Lhomme, directrice générale adjointe EMEA chez Kroll, spécialiste notamment de l‘investigation anti-fraude. Les entreprises, concernées par ces fraudes et qui placent elles-mêmes ce risque dans leurs préoccupations principales, sont pourtant mal protégées : une entreprise sur quatre déclare n’avoir mis en place aucun dispositif de prévention et de détection des risques de cybercriminalité. Leur démarche est plus réactive que proactive : 52 % indiquent n’avoir recours à des experts externes qu’après avoir connu un cas. S’il est difficile de savoir avec précision les chiffres des montants investis dans la sécurisation des systèmes et des données, le Cercle de la sécurité estimait en 2010 que 50 % des très grandes entreprises disposaient d’un budget de moins de 500 000 € par an pour ces questions. La sécurité informatique représenterait environ 3 % des investissements informatiques d’une entreprise.
Le risque le plus perturbant
Or, comme l’explique Gilbert Cannameras, président de l’Amrae, « la cybercriminalité est probablement le risque le plus perturbant pour l’entreprise. Les fraudes informatiques sont à présent de taille et ont des impacts conséquents. Ce risque n’est pas nouveau, en revanche sa dissémination est beaucoup plus rapide. On parle de réels franchissements de seuils : les montants concernés sont gigantesques, les univers touchés très variés. » Outre la protection de données économiques sensibles pour l’entreprise et sa compétitivité, se pose la question, non moins importante, de sa réputation : « L’entreprise se doit de prévenir publiquement le consommateur dès qu’une base de données le concernant a été accédée, ce qui soulève un enjeu de réputation grave », précise Gilbert Cannameras.
Assurances
Les compagnies d’assurance se sont emparées de ce risque en créant des couvertures dédiées. En France, XL Insurance inclut des garanties responsabilité civile, dommages et violations de données à son offre contre les risques de cybercriminalité. Nassau, quant à elle, propose dans son contrat Cyberprotect couverture et sécurité informatique, qui allie détection en amont et indemnisation si besoin. Quoi qu’il en soit, devant la faible fiabilité des données de la cybercriminalité, en nombre et en montants, les assurances sont encore bien en peine de proposer des garanties à la hauteur des potentiels sinistres… Une meilleure quantification des risques de cybercriminalité permettra aux compagnies de définir des lignes de garanties mieux adaptées.
Implication des collaborateurs
Aussi, la première arme de protection vient de l’intérieur. Les contours de définition de l’informatique en entreprise sont de plus en plus flous : le collaborateur n’a pas uniquement accès à un système fermé propre à l’entreprise mais bien à une multitude de points de contact, notamment via son smartphone. En l’état, la prise de conscience des employés et leur implication dans la sécurité informatique de l’entreprise est fondamentale. Et bien souvent, il suffirait d’adopter de simples réflexes de verrouillage. Une enquête d’Avira, expert en sécurité informatique, menée en septembre 2011, révèle que 38,95 % seulement des sondés confirment adhérer aux règles de sécurité de leur entreprise et estiment que tous les salariés sont concernés et doivent rester vigilants, autant que de personnes (35,42 %) à connaître les règles de sécurité mises en place par leur direction, sans avoir le sentiment que quiconque se préoccupe véritablement de leur application.
Pour autant, les risk managers semblent prendre la mesure du risque : l’atelier qui y était consacré aux Rencontres de l’Amrae des 8, 9 et 10 février 2012 comptait parmi les plus courrus.
(*) Étude “Global Economic Crime Survey 2011”, PwC
Lire aussi notre entretien avec les intervenants de l'atelier Cybercriminalité des Rencotnres de l'Amrae (février 2012)