ZD Tech : Cybersécurité, la pingrerie de votre patron le

ZD Tech : Cybersécurité, la pingrerie de votre patron le fera divorcer de son assureur

Bonjour à tous et bienvenu dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Guillaume Serries et aujourd’hui, je vous explique pourquoi la pingrerie de votre patron côté cybersécurité le mènera probablement à sa perte. Et à un divorce avec son assureur.

Vous êtes dans une entreprise où les mots de passe sont affichés aux murs ? Où les sauvegardes n’ont pas été faites depuis cinq ans ? Où l’expert cybersécurité s’occupe aussi de l’éclairage ? C’est normal.

Car pour de nombreux chefs d’entreprise, la cybersécurité est avant tout un coût financier qu’il convient de minimiser le plus possible. C’est pourquoi ils investissent au minimum dans la formation et dans la prévention.

Pourtant, et c’est quelque chose qui devrait les faire réfléchir, les coûts pour se relever d’une attaque informatique sont bien plus importants que les dépenses pour se protéger des attaques.

Prenons un exemple récent. Le roi du pipeline américain, Colonial Pipeline, a dû au printemps dernier payer une énorme rançon de 4,4 millions de dollars pour débloquer son outil de travail, composé de 8 800 kilomètres de tuyaux. Des tuyaux dont les vannes ont été soudainement bloquées. Oui, car des pirates avaient chiffré les systèmes informatiques de l’entreprise en y infiltrant un rançongiciel, dit aussi ransomware. De quoi figer tout le réseau de distribution de carburant. Le prix de la clé de déchiffrement ? Oui, 4,4 millions de dollars, pour débloquer les vannes.

Sans compter bien sûr les coûts supplémentaires liés à l’enquête, à la correction et à la restauration de l’infrastructure informatique de toute l’entreprise après ce très fâcheux incident.

« Je sais que c’était une décision très controversée (…) J’admets que je n’étais pas à l’aise avec le fait de voir de l’argent s’évaporer et aller vers de telles personnes », se désespérait alors le responsable de l’entreprise, Joseph Blount.

Ces négligences font même désormais reculer les assureurs qui, depuis quelques années, tentent de développer des produits qui couvrent les dommages informatiques des entreprises. Quand ils ne renoncent pas, ils exigent des montants de polices de plus en plus élevés.

« Certains manquements dans le domaine de la cybersécurité ne sont plus tolérés par les assureurs », explique Diego Sainz, référent technique cyber chez Verspieren. « Dans le passé, un assureur pouvait couvrir une entreprise qui ne mettait pas en place une segmentation systématique de son réseau. Mais dans la situation actuelle, ce type de manquement est plus compliqué à faire passer ».

Surtout que l’arrivée des ransomwares a changé la donne. Les assureurs sont de plus en plus perdants sur le rapport sinistre / prime.

Une situation tendue qui fait aussi renoncer nombre de clients, évidemment les plus fragiles. « Les primes d’aujourd’hui ont considérablement augmenté par rapport à leur niveau d’il y a trois ans. C’est donc difficile pour de petites entreprises de s’assurer maintenant, même si elles en ont besoin », explique Diego Sainz.