ATOUT RISK MANAGER N°34

ATOUT RISK MANAGER N°34 I AUTOMNE 2022 37 À l’affiche Firefox about:blank 1 of 1 06/09/2022, 22:00 RUSSIE SIGR CAPTIVES Maxime et RomainGuillerm, dirigeants deGuillerm. PLOUVORN GUILLERM BÉTONNE SA CROISSANCE AVEC LE PRÉFABRIQUÉ L’ENQUÊTE TRANSMETTRE SON ENTREPRISE : UN ENJEU DE TERRITOIRE SAINT-THÉGONNEC Boschmonteenpression sur les ballons inox BREST Ecotree lève 12 millions d’euros QUIMPER Trois cadres entrent au capital d’EERI Électricité PLOUÉDERN Qualiconfort entre dans le giron du groupe Eoden 14 ÉDITIONS • 68 DÉPARTEMENTS • 9 RÉGIONS HAUTS-DE-FRANCE • ALSACE • LORRAINE • AUVERGNE – RHÔNE-ALPES • RÉGION SUD • OCCITANIE • NOUVELLE-AQUITAINE • MAINE-ET-LOIRE - SARTHE - MAY ENNE LOIRE-ATLANTIQUE – VENDÉE • ILLE-ET-VILAINE • CÔTES-D’ARMOR • MORBIHAN • FINISTÈRE • NORMANDIE N°418 – SEPTEMBRE 2022 – 8,40 € FINISTÈRE jeudi 8 septembre 2022 — Quotidien n° 42411 —2,40 € Monde Situation «intenable» à la centrale nucléaire de Zaporij jia P. 8 Livres&idées Monica Sabolo, de l’enquête à la quête intime Cahier central Culture Face à la crise, les musées revoient leurs tarifs P. 23 Le président Emmanuel Macron lors d’un débat citoyen à Bourg-de-Péage (Drôme), en janvier 2019. Albert Facelly/Divergence éditorial Postures L’intention initiale est louable. Que notre démocratie traverse une crise profonde, difficile de le nier. Et qu’il faille innover afin de la ranimer, pourquoi pas. De là l’idée lancée avant l’été par Emmanuel Macron d’un Conseil national de la refondation (CNR). Son objet serait de « bâtir des consensus sur la situation du pays » et de « concevoir des solutions concrètes aux préoccupations de nos concitoyens ». Le président, tout juste réélu, l’a annoncé le 3 juin et l’inaugure ce jeudi 8 septembre à Marcoussis (Essonne). Entretemps, la donne a changé : l’absence de majorité absolue à l’Assemblée, si elle n’enlève rien à la légitimité du président, a affaibli son poids et son autorité. L’opposition, dans toutes ses composantes, refuse de participer, avec souvent de justes arguments. Les élus de la République peuvent-ils être mis sur un pied d’égalité avec la société civile ? À quoi servent les parlementaires, si ce n’est à délibérer pour répondre aux préoccupations de leurs concitoyens ? Sommes-nous en face d’une entreprise de refondation ou de communication ? Et pourquoi ne pas s’être appuyé sur le Conseil économique, social et environnemental (Cese), rénové il y a quelques années par Emmanuel Macron précisément pour en faire « l’institution de référence en matière de consultation citoyenne » ? Cela posé, on a rarement raison de refuser le dialogue. Et le spectacle donné par nos nouveaux députés dans les premières semaines de la législature justifierait à lui seul la recherche d’autres cadres d’échange, moins propices aux jeux de rôle. La démarche proposée par Emmanuel Macron paraît certes brouillonne et n’est pas dénuée de calcul. Mais si chacun en reste aux postures et aux procès d’intention, une chose semble certaine : la crise démocratique n’en est qu’à ses débuts. Jérôme Chapuis Unpari démocratique Annonces légales p. 10 Depuis 1883 – ISSN/0242-6056. – Imprimé en France : 2, 40 € ; DOM : 3, 15 € Luxembourg : 2, 60 €; Esp : 2, 90 € ; Italie (Rome) : 3, 40 € ; Maroc : 32 MAD; Canada : 6, 30 CAD Emmanuel Macron installe le Conseil national de la refondation, censé élaborer «unemanière nouvelle de débattre» mais boycotté par les oppositions P. 2-3 Le nombre d’attaques informatiques signalées à l’Agence nationale de la sécurité des systèmes d’information a augmenté de 37%entre 2020 et 2021. © PETERZAYDA Entre 2020 et 2021, le nombre d’intrusions avérées dans des systèmes d’information, signalées à l’Agence nationale de la sécurité des systèmes d’information a augmenté de 37% (786 en 2020 contre 1 082 en 2021, soit désormais près de 3 intrusions avérées par jour). Les TPE, PME et ETI représentent 34%des victimes en 2021, soit une augmentation de 53%par rapport à 2020, et sont principalement touchées par les rançongiciels. Le coût des cyberattaques pour les assureurs d’entreprises présents sur lemarché français a étémultiplié par trois pour atteindre 217 millions d’euros, selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae). Si la demande en assurance cyber a augmenté - les primes versées sont passées de 87millions d’euros à 130millions d’euros en 2020 -, ce sont surtout les grandes entreprises, dont le chiffre d’affaires est supérieur à 1,5milliard d’euros, qui s’assurent (82%des primes) selon une étude de l’Amrae sur la couverture assurantielle du risque cyber en France. « Cette augmentation du volume de primes de plus de 44%, principalement supportée par les grandes entreprises, se traduit par deux nouveaux phénomènes. Nous constatons une réduction de l’offre d’assurance et unemontée des franchises. En 2021, la capacité d’assurance des groupes a reculé de 25%. En parallèle, le prix de l’assurance a augmenté et a presque doublé en 2021 », constate Philippe Cotelle, administrateur de l’Amrae et président de sa commissionCyber. AUGMENTATION DES PRIMES Cette hausse du coût de l’assurance cyber a fait fuir 4,4%des groupes précédemment assurés qui soit utilisent des solutions alternatives comme les captives (compagnie d’assurances ou de réassurance filiale d’une entreprise ou d’un groupe industriel ou commercial) soit ne couvrent plus ce risque selon l’Amrae. Ainsi sur les 251 entreprises qui avaient souscrit une police cyber en 2020, 11 y ont renoncé en 2021. Des chiffres qui peuvent paraître anecdotiques, mais qui sont au contraire un signal fort selon Philippe Cotelle qui prévient que « le retrait du marché des grands groupes signerait la fin des assurances cyber ». Or cette situation aurait des répercussions néfastes pour les ETI qui ont été plus nombreuses à souscrire une assurance cyber l’année dernière (+20%) et dont les capacités d’assurance restent stables avec des hausses de franchises plusmesurées. « Les taux de prime d’assurance pour les ETI ont augmenté de 50%, soit deux foismoins que pour les grandes entreprises, mais elles doivent s’attendre à un traitement robuste en 2022. Nous craignons que les critères soient relevés demanière brutale par les assureurs et que le risque cyber pour les ETI devienne inassurable », s’inquiète Philippe Cotelle. Les PME pourraient également à l’avenir connaître une évolution comparable. C’est pourquoi les entreprises, quelle que soit leur taille, doivent aborder la gestion du risque cyber sur le long terme. « L’entreprise doit identifier et quantifier son risque cyber pourmettre en place desmesures de prévention si elle veut pouvoir s’assurer », insiste Philippe Cotelle, car « les questionnaires de souscription auxquels elle doit se soumettre seront plus exigeants à l’avenir ». Mallory Lalanne CYBER RISQUE : LE MARCHÉ ASSURANTIEL SE TEND POUR LES ENTREPRISES Le coût des cyberattaques pour les assureurs a été multiplié par trois en 2021. À la clef des hausses de tarifs pour les entreprises assurées et des conditions de plus en plus sévères pour être assuré. Contactez-nous dès maintenant pour étendre votre abonnement ! 14 ÉDITIONS 68 DÉPARTEMENTS 9 RÉGIONS Suivez l’actualité économique des entreprises de 14 territoires de 700 entreprises régionales passées au crible tous les mois de 35 journalistes au contact des entreprises une veille économique 100% BtoB • Par téléphone : 0810 500 301 (0.06 € par minute + prix d’un appel) du lundi au vendredi de 9h à 12h30 et de 13h30 à 17h • Par mail : abonnement@lejournaldesentreprises.com • Sur notre site : FINISTÈRE 54 LE JOURNAL DES ENTREPRISES SEPTEMBRE 2022 DOSSIER SPÉCIAL Assurances La Croix -jeudi 8 septembre 2022 Débats 4 question du jour Les assureurs doivent-ils rembourser les rançons des cyberattaques ? Je doute de l’efficacité d’une assurance pour les rançons des cyberattaques. D’abord parce que même ceux qui paient une rançon récupèrent rarement leurs données. Payer ne donne en effet aucune garantie, car celui qui a chiffré vos données ne sera pas forcément en mesure de les décrypter. J’ai déjà vu plusieurs fois des cas où le cyberattaquant avait utilisé une clé de chiffrage au hasard qu’il n’était même pas en mesure de retrouver luimême ! Personne n’était alors en mesure de restaurer les données. Ensuite, même si vous les récupérez, quelle confiance pouvezvous avoir dans des données qui auront été compromises ? L’attaquant ne les a-t-il pas modifiées ? Ne les a-t-il pas copiées pour les réutiliser à d’autres fins ? N’a-til pas laissé dedans un cheval de Troi qui lui permettra de revenir demander une nouvelle rançon dans quelques mois ? Même si vous payez la rançon, vous n’avez aucune garantie. Par ailleurs, quelle confiance avoir dans l’infrastructure informatique qui a été violée ? J’ai vu des entreprises qu ont dû totalement changer leur informatique après une attaque, y compris leur matériel. Ainsi, que vous payiez ou non, la cyberattaque va vous coûter : il convient donc de s’en prémunir le plus possible. Cela passe par de gros efforts d’éducation pour ne pas se retrouver victimes de pièges parfois grossiers à travers des pièces jointes ou des SMS. De ce point de vue, les bonnes pratiques d’« hygiène informatique » proposées par l’Anssi sont souvent des gestes de bon sens. D’autant que, si certaines sont effectivement très élaborées, la majorité des attaques ne sont, en fait, pas très sophistiquées, et ciblent rarement à la tête des grandes entreprises. Le développement des assurances pourra peut-être aider à faire évoluer les mentalités. Ne serait-ce que parce que payer une prime entraînera une prise de conscience, notamment du côté des très petites entreprises qui ont aujourd’hui beaucoup de choses en ligne, y compris parfois leur comptabilité ou leur facturation. Il y a ici un travail de sensibilisation à effectuer, mais qui est plus compliqué que dans les grandes entreprises. Peut-être qu’il y a quelque chose à faire avec les chambres de commerce. Mais sans doute faudra-t-il aussi modifier certains de nos comportements. Nous avons ainsi pris l’habitude d’avoir des systèmes très ouverts. Je pense qu’il faut davantage les compartimenter pour que l’attaque dans un service n’affecte pas tous les autres. Par exemple, dans un hôpital, il est peut-être nécessaire que la gestion des lits ou de la cantine soit séparée de la radiologie ou des résultats médicaux. Ce sera peut-être un surcoût opérationnel, mais multiplier les barrières va ralentir le cyberattaquant. Recueilli par Nicolas Senèze La Direction générale du trésor a publié, le 7 septembre, un rapport important sur l’assurance du risque cyber, c’est-à-dire les atteintes à des systèmes informatiques dans un but malveillant. L’Amrae (Association pour le management des risques et des assurances de l’entreprise) y a contribué. Parmi les mesures évoquées, il y a la validation d’une indemnisation par les assureurs des cyberrançons, à condition que l’entreprise porte plainte. Ce sont des sommes d’argent demandées aux entreprises pour arrêter l’attaque ou encore restituer les données volées. L’Amrae recommande de ne pas payer les rançons : rien ne garantit ni le déblocage des fichiers et systèmes, nil’absence derécidive, ni la vente ou la publicationdes données piratées. Ce qu’il faut couvrir financièrement, ce sont les conséquences financières, juridiques et techniques des attaques cyber. L’enjeu principal de ce rapport, c’est de développer l’ensemble du marché de l’assurance cyber et lasensibilisation des entreprises à la prévention. Car les conséquences économiques pour une entreprise sont massives même en l’absence de paiement de rançon. Ne serait-ce que l’arrêt des activités de l’entreprise le temps de l’attaque. Les attaques cyber sont une menace pour les entreprises, notre économie et notre société. Il est donc essentiel de développer une meilleure protection des entreprises, d’un côté, et une meilleure couverture de la part des assureurs, de l’autre. Après une mauvaise année 2020 pour les assureurs cyber, ces derniers ont décidé de réduire le capital couvert, d’augmenter fortement les franchises et de doubler les taux de primes. En réaction, certaines grandes entreprises n’ont pas renouvelé leur contrat d’assurance contre les cyberattaques. Comme elles portent 84 % du volume de primes, si trop de grandes entreprises se retirent dumarché, celuici ne sera plus enmesure d’offrir une bonne couverture des risques, y compris aux plus petites. L’enjeu est donc de pousser ces dernières à mieux se protéger, d’autant que les assureurs ont augmenté leurs exigences pour être éligible à une couverture. Sauf que les PME n’ont pas forcément les compétences pour mesurer leur vulnérabilité aux risques cyber. Elles font aussi face à une multitude d’offres de solutions techniques, avec un vocabulaire complexe, ce qui constitue un deuxième frein. Une petite PME ne va pas adopter des critères de sécurité équivalents à un grand groupe international. Il faut clarifier les offres et accompagner ces entreprises à développer une politique de sécurité adaptée à leurs besoins et efficace. En développant la protection, l’accompagnement en cas d’attaque et en incitant à ne pas payer de rançons, on crée un phénomène vertueux pour montrer aux attaquants que ça ne vaut pas le coup d’y procéder. Et en face, les assureurs sont plus rassurés de travailler avec des entreprises qui ont développé une bonne politique de sécurité. Recueilli par Élia Ducoulombier Il faut davantage les compartimenter pour que l’attaque dans un service n’affecte pas tous les autres. Ces attaques sont une menace pour les entreprises, notre économie et notre société. Le gouvernement va permettre le paiement par les assureurs des rançons liées à des piratages informatiques, à condition que les entreprises victimes portent plainte. Si certaines rançons peuvent atteindre plusieursmillions d’euros, lamoyenne desmontants demandés se situait autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinq dernières années. Hervé Debar Directeur adjoint de TélécomSudParis et membre du conseil scientifique de l’Agence nationale de la sécurité des systèmes d’information (Anssi) (Photo H. Debar) Philippe Cotelle Administrateur de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) et membre du groupe de travail de la Direction générale du Trésor (Photo P. Cotelle) Payer la rançon n’offre aucune garantie Il faut développer lemarché de l’assurance cyber RAPPORT DE LA DIRECTION GÉNÉRALE DU TRÉSOR

RkJQdWJsaXNoZXIy MTkzNjg=