Actualités

Le cyber-risque au 72e Congrès de l'Ordre des experts-comptables

20 septembre 2017

Rendez-vous à Lille les 27, 28 et 29 septembre 2017

Les cyber-attaques ont fait la Une de l'actualité en 2017. Face à cette menace qui semble planer au dessus de plus en plus d'entreprises, comment les experts-comptables peuvent-ils faire valoir leur rôle de conseil tout en prenant en main la sécurité de leur propre activité professionnelle ? Bernard Duterque - Directeur souscription risques spéciaux chez Generali nous explique les enjeux autour de ce nouveau risque en amont de son intervention au 72e Congrès de l'Ordre des experts-comptables. Lors de cette animation, il sera aux côtés de Dominique Jourde - Expert-comptable et Commissaire aux comptes qui précisera les propos pour la profession.

  • Quelles sont les principales menaces qui pèsent actuellement sur les entreprises Françaises ?

Avec la digitalisation croissante des activités et des pratiques (usage des réseaux sociaux, transactions en ligne, échanges informatisés de données, BYOD (utilisation d’équipement informatique personnel au travail) …), tous les métiers et toutes les organisations sont concernés. Leur exposition aux risques numériques augmente chaque année.

En effet, tout nouveau service numérique représente aujourd’hui une cible potentielle des cyberattaques. Les pirates informatiques exploitent dès qu’ils les décèlent les vulnérabilités d’un système. La cybercriminalité est devenue un véritable business faisant intervenir des groupes organisés. Un marché noir du « programme malveillant » existe et se développe de plus en plus sur le dark web (réseaux anonymes utilisés notamment pour le partage ou commerce de produits illégaux).

Les formes d’attaques sont diverses, elles évoluent rapidement et sont de plus en plus sophistiquées. Les ransomware et cryptolockers dominent l'actualité. Diffusés ces derniers mois, les logiciels malveillants WannaCry et NotPetya ont paralysé le fonctionnement de plusieurs centaines d’entreprises dans le monde, en cryptant le contenu de leurs disques durs et en exigeant le versement de rançons (en monnaie virtuelle) pour accéder de nouveau à leurs données.

Les terminaux de point de vente sont aussi de plus en plus touchés par des virus. Il en va de même pour les terminaux mobiles. On assiste enfin au développement exponentiel d’attaques ciblées (ou APT) pour collecter des informations monnayables (données à caractère personnel, informations de R&D…) et relevant parfois d’opérations d’espionnage organisées.

Pour résumer les principales menaces induites par les cyber-risques pour les entreprises sont la perte, le vol, l’altération ou la destruction de données à caractère personnel ou confidentiel, l’interruption ou la paralysie du système d’information (conduisant à des pertes d’exploitation), la crise de réputation suite à l’exploitation, la divulgation ou la diffusion d’informations détenues par l’entreprise et la cyber-extorsion. A noter qu’un incident numérique peut également être issu de négligences ou d’erreurs humaines. C’est même plus d’un tiers des incidents de sécurité subis par les entreprises.

Les petites et moyennes entreprises sont particulièrement vulnérables à ces menaces : elles représentent près de 80 % des victimes d’attaques numériques en France. Leur niveau de sécurité informatique est souvent limité en comparaison des grands groupes, moins faciles à pénétrer, et la majorité d’entre-elles sous-estiment le risque et pensent encore à tort exercer une activité non ciblée.

  • Pourquoi le cyber-risque concerne-t-il toutes les entreprises et donc les experts-comptables?

D’abord, pour leur propre activité. En tant que chefs d’entreprises, en grande majorité de PME, il est important qu’ils s’en préoccupent puisqu’à lumière de mes propos précédents, ils sont clairement concernés. Leur exposition aux menaces informatiques est forte dans la mesure où, de par leur activité, ils sont amenés à traiter et à stocker, dans leurs systèmes informatiques, des données particulièrement sensibles voire confidentielles concernant leurs clients : bilans des sociétés, fiches d’impôts des dirigeants, déclarations comptables et fiscales, coordonnées bancaires… autant d’informations qui intéressent les pirates informatiques.

De plus, certaines conditions d’exercice de l’activité d’expertise comptable comme la réalisation de certaines tâches à l’extérieur des cabinets ou le recours, de plus en plus fréquent, à l’externalisation des travaux de saisie comptable augmente « la surface d’attaque » des cabinets.

Ensuite, évidemment, pour leurs clients. Le cabinet d’expertise-comptable  peut être amené à échanger avec les différentes parties prenantes ayant vocation à adresser le sujet cyber : prestataires informatiques, auditeurs, services juridiques et avocats, assureurs… Le Conseil supérieur accompagne d’ailleurs les cabinets à travers le programme "Cap sur le numérique".

  • Comment Generali propose-t-il d'accompagner et de protéger les TPE / PME face à ces risques numériques ?

Pour prendre en compte efficacement les enjeux posés par les risques numériques, l’assurance doit changer de modèle. La logique de simple indemnisation ne suffit pas, en particulier pour les TPE / PME qui sont des cibles privilégiées : elles disposent de moyens limités en matière de sécurité informatique et sont le plus souvent démunies en cas d’incident numérique.

L’assureur, et c’est la position de Generali, doit changer de paradigme : en matière de risques numériques, indemniser nos clients c’est important mais les accompagner de façon concrète l’est encore davantage.

Notre solution, Generali Protection Numérique, permet de passer de cette approche technique et purement indemnitaire de l’assurance cyber à une offre de sécurisation, de remédiation et d’accompagnement des TPE / PME dans l’optique de limiter leur exposition aux risques numériques et de résoudre les incidents en cas de survenance. Notre objectif est la pérennisation de l’activité de nos clients.

Par ailleurs, Generali Protection Numérique intègre le sujet du risque numérique dans son ensemble : faire face aux menaces externes relevant de la cybercriminalité mais aussi aux incidents issus d’erreurs ou de négligences humaines.

Enfin, Generali Protection Numérique est un complément permettant aux entreprises de se conformer plus facilement au Règlement Général sur la Protection des Données (RGPD, applicable en mai 2018) avec notamment, la prise en charge financière et opérationnelle des notifications à l'autorité administrative compétente et aux personnes en cas d'atteinte à des données à caractère personnel.

  • En quoi cette démarche est-elle innovante ?

La solution Generali Protection Numérique se positionne au-delà d’un contrat multirisque classique comportant seulement des couvertures Dommages et Responsabilité Civile : il s’agit d’une offre de services permettant au client qui le souhaite d'être totalement pris en charge, en s’appuyant sur des équipes expertes pouvant intervenir à distance et, si nécessaire, sur site.

En effet, Generali Protection Numérique s’appuie sur le savoir-faire de notre partenaire historique Europ Assistance pour gérer la crise aux côtés du chef d’entreprise et sur l’expertise technique d’Ineo Digital (groupe ENGIE) qui prend en charge l’ensemble des opérations de remédiation (éradication du programme malveillant introduit dans le système, reconstitution des données perdues, remise en fonctionnement du site internet indisponible suite à l’attaque par déni de service…).

En cas d’incident numérique, les entreprises assurées bénéficient, 7j/7 et 24h/24, d’interlocuteurs dédiés et de spécialistes pour procéder à l’analyse de la situation et résoudre rapidement le problème.

La simplicité des questions techniques pour l’analyse du risque, l’association du prestataire informatique de l’assuré pour la résolution technique de l’incident, des documents contractuels et techniques compréhensibles, complétés par des supports pédagogiques rédigés en langage clairs font de Generali Protection Numérique un produit particulièrement adapté aux TPE / PME.

Enfin, et c’est majeur, pour agir efficacement sur le risque numérique, nous renforcerons les services de prévention pour aider les entreprises à développer leur cyber-résilience.