fbpxl Développer sa résilience face aux crises cyber ? interview RESCO Courtage

Résilience, risque cyber et assurance : interview de RESCO Courtage (Village des Notaires)

JVN-85-1-pdf Résilience, risque cyber et assurance : interview de RESCO Courtage (Village des Notaires)

Développer sa résilience face aux crises cyber ?

Merci à Jordan Belgrave pour avoir sollicité RESCO Courtage pour la rédaction de cet article.

Retrouvez ci-dessous l’article de Jordan Belgrave

(avec participation de RESCO Courtage)

La résilience prend progressivement le pas sur la sécurité comme concept central de l’informatique, afin d’appréhender les dynamiques de manière multidimensionnelle. Car la probabilité de se faire attaquer et pirater est tellement élevée que la question n’est plus seulement d’organiser la défense, mais également de minimiser l’impact d’un piratage réussi.

Pour cela, il faut réagir vite et de la bonne manière.

En 2019, plus de 41% des entreprises de moins de 49 salariés avaient subi une ou plusieurs attaques ou tentatives d’attaques informatiques, qui se répartissaient ainsi pour les principaux types : 24 % de hameçonnage, 20 % malware, 16 % de ransomware(rançongiciel) et 6 % de fraude au président. En 2020, la tendance est encore plus forte puisque, selon l’éditeur de sécurité Proofpoint, 91 % des entreprises auraient été visées, et 65 % l’auraient été à plusieurs reprises. Nul n’est à l’abri, puisque les éditeurs de logiciels et de services numériques sont eux aussi fortement touchés, comme la française Sopra Steria, ou l’américaine Solar Winds, dont la faille de sécurité a mis en danger un grand nombre de grandes entreprises et de structures gouvernementales aux États-Unis.

Si tout le monde est concerné, le monde notarial a bien sûr ses spécificités. D’une part, il est constitué de TPE-PME, avec, d’une part, une moindre exposition médiatique que les grands groupes, et une plus grande facilité à communiquer en direct avec les autres membres de l’étude dès qu’un problème semble émerger, sans avoir à passer par les réseaux – un avantage que le télétravail pourrait venir entamer.

Les études notariales bénéficient aussi d’un avantage spécifique face au risque cyber

qui est que la plupart d’entre elles ont un backup papier et une pratique encore pas totalement numérisée, qui leur permet de pouvoir continuer partiellement leur activité en cas de crise.

En revanche, les notaires traitent des données qui sont non seulement sensibles d’un point de vue financier, mais relèvent pourcertaines de l’intime – testaments, contrats de mariage,… ce qui leur donne une responsabilité particulière dans la protection des données personnelles.

Les notaires sont-ils pour autant conscients du danger ?

« Malgré une prise de conscience progressive, explique Arnaud Gressel, expert chez Resco Courtage, il y a une erreur que j’observe de manière récurrente, qui est de croire que l’on n’est pas concerné parce qu’on n’est pas une cible. Mais c’est sous-estimer le fait qu’il n’y a pas besoin d’être une cible pour être attaqué. Les campagnes d’emailing captent très, très large, et l’on reçoit tous les jours des faux e-mails sur lesquels il suffit que quelqu’un clique une fois. Pour l’instant, je constate que ce sont surtout lorsque des structures ont été touchées ou victimes à un moment donné ou qu’elles ont vu de près une crise qu’elles sont les plus sensibilisées ».

Comment réagir face à la crise ?

L’élément central d’une crise cyber est la perte de repères.

« Contrairement à des entreprises de grande taille, indique Emmanuelle Hervé, experte en gestion de crise chez EH&A, les petites structures se retrouvent seules, sans conseil d’administration derrière, sans comité d’étude des risques qui leur aurait dit, en amont, qu’il faut se préparer à ceci ou cela et comment le faire. Il y a beaucoup d’intuitu personae dans les petites structures, et la personnalité des dirigeants a beaucoup d’influence sur les décisions prises, car ils n’ont pas en interne de système expert d’aide à la décision, qui les aide à déterminer si une situation est suffisamment crisogène pour justifier l’ouverture d’une cellule de crise. Donc, quelle que soit la taille de l’entreprise, la gestion de crise ne s’improvise pas, il y a des processus et des méthodes qu’il convient de travailler en temps de paix ».

Une situation de crise cyber est donc marquée par la confusion :

les ordinateurs ne marchent plus, les mails ne passent plus, l’activité est interrompue. Le dirigeant se retrouve très démuni car il ne sait pas quelle est l’étendue des dégâts : est-ce qu’il y a des data volées ? Sont-elles juste cryptées ? Quels types de data sont concernées ? Quel volume ? Il est normal d’être déboussolé mais il faut d’abord être clair sur les priorités : redémarrer le plus tôt possible tout en préservant le capital confiance de l’étude. Pour cela, il est indispensable de se faire aider.

« Le but, souligne Delphine Mercelat, Directrice des assurances du notariat chez LSN assurances, est que l’étude contacte au plus vite l’assurance afin que le sinistre soit géré en un minimum de temps et que l’activité soit interrompue le moins possible. Plus le notaire réagit vite, plus il nous déclare le sinistre vite, plus ça peut être réglé vite. S’il tarde un peu, le virus peut alors se diffuser et atteindre tout le réseau informatique de l’étude ».

Un réflexe récurrent mais qui n’est pas pertinent est d’appeler le prestataire informatique habituel.

Parce que, d’une part, celui-ci n’a peut-être pas forcément le même temps de réactivité ni la même disponibilité que les experts de l’assurance et, d’autre part, le côté cyber peut être quelque chose de nouveau et de compliqué à gérer pour lui. Il n’aura peut-être pas le réflexe de gérer l’incident avec une approche d’expert qui consiste à sauvegarder les preuves pour l’indemnisation et le recours, ou pourrait avoir tendance à débrancher le système informatique alors que certains éléments peuvent encore être sauvés.

Aux côtés de la réponse informatique, les autres pans de la réponse à la crise sont, d’une part juridique, et d’autre part communicationnel. Dans tous ces domaines, la bonne démarche consiste à recourir aux experts mis à disposition par les assurances.

Si le notaire n’a pas la main sur les aspects informatique et juridique, il doit néanmoins concentrer toute son énergie sur la gestion de crise et sur la communication. Une difficulté principale dans une telle situation est qu’il est presque impossible de savoir combien de temps les opérations en cours – déchiffrage, négociation – vont durer : quelques heures, quelques jours ou quelques semaines.

Pour organiser ces aspects, une réunion de crise doit être organisée au plus vite.

Elle peut ne prendre que quelques heures, et permet de clarifier les priorités pour cette situation exceptionnelle. « Pour bien analyser tous les scénarios d’évolution, indique Emmanuelle Hervé, il faut partir de l’événement et se demander : comment cela peut-il empirer ? Même si l’on a envie de se dire que ça va s’arranger, il faut faire cet effort intellectuel. Si toute l’informatique est bloquée pendant des mois, quelle continuité d’activité est possible ? Si des datas sensibles sont dehors, quels sont les impact côtés clients et employés ? et côté CNIL ?

Que faire si nous prenons une amende de 4 % du CA et une procédure au pénal ? il faut balayer toutes les grandes dimensions de la crise par catégorie, business, financier, juridique, humain, réputationnel et dérouler les scénarios d’évolution défavorables jusqu’au bout. C’est ça qui est difficile en général, c’est de le faire jusqu’au bout et, ensuite, de remonter dans l’autre sens en se demandant ce qu’on peut faire pour, soit baisser la probabilité d’occurrence des scénarios qu’on vient de développer, soit diminuer l’impact si jamais ça arrive quand même. Et donc, ça, c’est vraiment un travail à faire en démarrage de gestion de crise ».

La cartographie des risques

Une autre démarche indispensable à réaliser,qu’il aurait même été préférable de réaliser en amont, est la cartographie de toutes les parties prenantes de l’étude. En externe : identifier les clients importants qui vont particulièrement s‘inquiéter d’un éventuel vol de données et les appeler directement pour leur assurer que le maximum est fait.

En interne : aller parler aux employés qui peuvent craindre pour la perte de leur emploi, ou qui se sont fait voler des photos compromettantes qu’ils gardaient sur l’ordinateur de bureau, et qui peuvent avoir peur qu’elles fuitent. S’il est encore temps, c’est l’occasion de mettre sur papier l’ensemble des contacts pour pouvoir communiquer avec ces personnes même si toutes les données ont été perdues ou bloquées.

Jordan Belgrave

 

ENQUÊTE

Que faire en cas de demande de rançon ?

S’ils sont à la recherche de rançons importantes, les hackers ne vont pas viser de notaires, mais des grandes structures. Toutefois, les ransomwares génériques circulent, et fonctionnent, puisqu’un certain nombre d’entreprises se font piéger et finissent par payer. S’il faut savoir que la recommandation classique en France, en cas de ransomware, est de ne surtout pas payer, une observation essentielle est que « les entreprises assurées contre le cyber payent beaucoup moins de rançons que les sociétés qui ne sont pas assurées, précise Arnaud Gressel, expert chez Resco Courtage, du simple fait qu’elles ont une assistance immédiate dès les premières heures. Tout va plus vite, les données vont être mieux préservées, et la pression est moindre. Quand une entreprise est livrée à elle-même, elle va plus facilement se dire qu’il vaut mieux payer pour survivre ».

Jordan Belgrave

Retrouver le Journal du Village des Notaires

cyber résilience assurance etude notariale

Vous avez besoin de conseil ?

Nous pouvons vous accompagner pour votre recherche d’assurance.
Contactez-nous, nous vous recontacterons sous 24h


    Vos coordonnés seront uniquement utilisées
    dans le cadre de notre relation commerciale.