Table of Contents Table of Contents
Previous Page  54 / 64 Next Page
Information
Show Menu
Previous Page 54 / 64 Next Page
Page Background

ACTUALITÉ DE L’AMRAE

mécaniquement les coûts de la gestion de crise

»,

précisait Gérôme Billois. Action d’autant plus utile

qu’un certain nombre de codes malveillants ex-

ploitent aujourd’hui la même faille de sécurité de

Windows : Petya pour ne citer qu’elle.

Malgré les politiques de prévention et de gestion des

risques cyber, «

WannaCry a fait ressortir plusieurs

faiblesses structurelles dans les systèmes d’informa-

tions : omniprésence des systèmes Windows et forte

interconnexion

», constatait le Cyber security Senior

Manager. «

Il faut parfois reprioriser les investisse-

ments, en arbitrant entre les nouveautés attirantes et

la bonne application des règles d’hygiène de base de

la cybersécurité

».

…ET AVANT LA CRISE

Des comportements utiles à adopter… lorsqu’on

réagit à une crise. Quid des mesures préventives ?

Gérôme Billois rappelait les 6 actions essentielles à

mener toute l’année :

T

S’assurer de l’application des règles de base de

la cybersécurité (en particulier sur l’application

des correctifs de sécurité) ;

T

Organiser sa gestion de crise en amont et déve-

lopper une cyber résilience ;

T

C p RWXr lP RhQer PbbdrP]Re †

T

Avoir des sauvegardes (et les tester régulière-

ment) ;

T

En cas de ransomware : ne pas payer la rançon

(cela encourage la criminalité cyber, et vos don-

nées ne sont pas restituées dans la plupart des

cas) ;

T

Vous êtes quand même victime ? Visitez le site

nomoreransom.org

(conçu conjointement avec

6dro_ol˜ _odr Xde]tXoer d¬ ee]tdelleb boldtXo]b

pour récupérer vos données.

Et n’oubliez pas : l’AMRAE rassemble également

toutes les informations et ressources utiles sur

«WannaCry » sur la page dédiée de son site inter-

]et —fff.P

\rPe.Ur

È P+le bRXe]tXo`de È Eo_ GeXlle È

WannaCry) !

ÉVÉNEMENTS

Luc Vignancour,

Cyber Practice Leader

chez Marsh

CYBERASSURANCE

FACE A WANNACRY

Luc Vignancour est Cyber Practice Leader chez Marsh.

Il effectuait lors du café-échanges un focus sur la cybe-

rassurance. Retour en 3 points clés sur son intervention.

1 ˜ Comment se Rouerir eUoRaRement Rontre une atta`ue

cyber ?

Globalement, les polices cyber ont couvert l’attaque, même

en cas de non-application des correctifs de sécurité de

Windows. Aujourd’hui, il y a un consensus sur le marché : le

non-déploiement des correctifs de sécurité est trop restrictif

et ne prend pas en compte la réalité des entreprises ; en

revanche, la non-application du processus de gestion des

correctifs (pouvoir tester le correctif et faire marche arrière

s’il impacte trop de logiciels) est sujet à discussion.

Un énorme travail a été fait dans l’assurance pour ne pas

PeoXr deb deo]XtXo]b tro_ rebtrXRtXeeb de Re `d¬ebt d] bhbt!\e

d’information : en effet ils sont très décentralisés la plupart du temps.

S’il existe des volets “cyber” dans des polices de type KR, RC, ou Dommages par

exemple, une entreprise a plutôt tout intérêt à avoir une police cyber dédiée. Cela lui

confèrera une meilleure vision globale, et les polices dédiées donnent plus de certi-

tudes. Attention : les frais supplémentaires de gestion d’une crise cyber doivent être

inclus dans la police dédiée !

2 ) La question des franchises cyber

L’attaque WannaCry démontre une fois de plus le non-sens des franchises cyber en

temps et en durée. Quel est le début de la franchise : l’arrêt de la chaîne de production ?

Le moment où le virus a pénétré le système ? Ma recommandation : privilégiez les fran-

chise élevées, qui n’auront d’impact que sur la prime.

3 ) Comment se prémunir des vulnérabilités cyber de sa supply chain (fournisseurs,

sous-traitants…) ?

On l’a vu dans le cas de l’infection des hôpitaux du Royaume-Uni par “WannaCry” : il

n’ y a pas aujourd’hui de texte légal obligeant les fournisseurs (de matériel d’imagerie

médicale en l’occurrence) à assurer la sécurité cyber de leurs appareils. Ils le proposent

parfois, mais en option payante. L’entreprise est donc décisionnaire : elle doit formuler

clairement ces exigences au fournisseur, et les stipuler explicitement dans le contrat de

maintenance.

ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE

I N°13 I

ÉTÉ 2017

54