54 / 64
ACTUALITÉ DE L’AMRAE
mécaniquement les coûts de la gestion de crise
»,
précisait Gérôme Billois. Action d’autant plus utile
qu’un certain nombre de codes malveillants ex-
ploitent aujourd’hui la même faille de sécurité de
Windows : Petya pour ne citer qu’elle.
Malgré les politiques de prévention et de gestion des
risques cyber, «
WannaCry a fait ressortir plusieurs
faiblesses structurelles dans les systèmes d’informa-
tions : omniprésence des systèmes Windows et forte
interconnexion
», constatait le Cyber security Senior
Manager. «
Il faut parfois reprioriser les investisse-
ments, en arbitrant entre les nouveautés attirantes et
la bonne application des règles d’hygiène de base de
la cybersécurité
».
…ET AVANT LA CRISE
Des comportements utiles à adopter… lorsqu’on
réagit à une crise. Quid des mesures préventives ?
Gérôme Billois rappelait les 6 actions essentielles à
mener toute l’année :
T
S’assurer de l’application des règles de base de
la cybersécurité (en particulier sur l’application
des correctifs de sécurité) ;
T
Organiser sa gestion de crise en amont et déve-
lopper une cyber résilience ;
T
C p RWXr lP RhQer PbbdrP]Re
T
Avoir des sauvegardes (et les tester régulière-
ment) ;
T
En cas de ransomware : ne pas payer la rançon
(cela encourage la criminalité cyber, et vos don-
nées ne sont pas restituées dans la plupart des
cas) ;
T
Vous êtes quand même victime ? Visitez le site
nomoreransom.org(conçu conjointement avec
6dro_ol _odr Xde]tXoer d¬ ee]tdelleb boldtXo]b
pour récupérer vos données.
Et n’oubliez pas : l’AMRAE rassemble également
toutes les informations et ressources utiles sur
«WannaCry » sur la page dédiée de son site inter-
]et fff.P
\rPe.UrÈ P+le bRXe]tXo`de È Eo_ GeXlle È
WannaCry) !
ÉVÉNEMENTS
Luc Vignancour,
Cyber Practice Leader
chez Marsh
CYBERASSURANCE
FACE A WANNACRY
Luc Vignancour est Cyber Practice Leader chez Marsh.
Il effectuait lors du café-échanges un focus sur la cybe-
rassurance. Retour en 3 points clés sur son intervention.
1 Comment se Rouerir eUoRaRement Rontre une atta`ue
cyber ?
Globalement, les polices cyber ont couvert l’attaque, même
en cas de non-application des correctifs de sécurité de
Windows. Aujourd’hui, il y a un consensus sur le marché : le
non-déploiement des correctifs de sécurité est trop restrictif
et ne prend pas en compte la réalité des entreprises ; en
revanche, la non-application du processus de gestion des
correctifs (pouvoir tester le correctif et faire marche arrière
s’il impacte trop de logiciels) est sujet à discussion.
Un énorme travail a été fait dans l’assurance pour ne pas
PeoXr deb deo]XtXo]b tro_ rebtrXRtXeeb de Re `d¬ebt d] bhbt!\e
d’information : en effet ils sont très décentralisés la plupart du temps.
S’il existe des volets “cyber” dans des polices de type KR, RC, ou Dommages par
exemple, une entreprise a plutôt tout intérêt à avoir une police cyber dédiée. Cela lui
confèrera une meilleure vision globale, et les polices dédiées donnent plus de certi-
tudes. Attention : les frais supplémentaires de gestion d’une crise cyber doivent être
inclus dans la police dédiée !
2 ) La question des franchises cyber
L’attaque WannaCry démontre une fois de plus le non-sens des franchises cyber en
temps et en durée. Quel est le début de la franchise : l’arrêt de la chaîne de production ?
Le moment où le virus a pénétré le système ? Ma recommandation : privilégiez les fran-
chise élevées, qui n’auront d’impact que sur la prime.
3 ) Comment se prémunir des vulnérabilités cyber de sa supply chain (fournisseurs,
sous-traitants…) ?
On l’a vu dans le cas de l’infection des hôpitaux du Royaume-Uni par “WannaCry” : il
n’ y a pas aujourd’hui de texte légal obligeant les fournisseurs (de matériel d’imagerie
médicale en l’occurrence) à assurer la sécurité cyber de leurs appareils. Ils le proposent
parfois, mais en option payante. L’entreprise est donc décisionnaire : elle doit formuler
clairement ces exigences au fournisseur, et les stipuler explicitement dans le contrat de
maintenance.
ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE
I N°13 I
ÉTÉ 2017
54