septembre 2023
Les plus grands risques de notre époque
Criminalité informatique
La criminalité informatique, ou cyberrisques, prend malheureusement de plus en plus d’importance dans le quotidien professionnel d’aujourd’hui. En effet, une grande partie des processus économiques sont aujourd’hui interconnectés et dépendent des technologies de l’information. La branche de la construction métallique est également concernée.
Connexion
Merci de l’intérêt que vous portez à nos contenus. Les abonnés de la revue spécialisée metall trouveront le Login pour l’accès intégral dans les informations légales de la version imprimée actuelle. Le mot de passe change tous les mois.
Inscrivez-vous maintenant pour lire cet article. Inscrivez-vous pour lire les différents articles et payez très facilement par carte de crédit. (CHF 5.- par article)
En tant qu’utilisateur enregistré, vous pouvez accéder à tout moment à l’article acheté.
Si - en tant que professionnel dans les domaines de la construction métallique, en acier et de façades - vous n’êtes pas encore abonné à la revue spécialisée metall, ne perdez plus une seconde et souscrivez dès à présent votre abonnement ici.
Criminalité informatique
Les plus grands risques de notre époque
La criminalité informatique, ou cyberrisques, prend malheureusement de plus en plus d’importance dans le quotidien professionnel d’aujourd’hui. En effet, une grande partie des processus économiques sont aujourd’hui interconnectés et dépendent des technologies de l’information. La branche de la construction métallique est également concernée.
Les cyberrisques ne doivent pas être sous-estimés, notamment parce que les entreprises actuelles possèdent des équipements de plus en plus modernes et que les machines et installations sont désormais reliées à l’infrastructure informatique. De même, une entreprise de construction métallique enregistre des données importantes telles que des commandes de clients, des planifications ou des données personnelles. Pour les entreprises, cela augmente le risque de subir un cyberdommage, qu’il soit provoqué par une erreur technique intentionnelle ou involontaire, des collaborateurs de l’entreprise, une attaque de cybercriminels ou autres. Les experts estiment que plus de 90 % des entreprises sont exposées chaque année à des cyberattaques. En 2022, 33 345 attaques ont été recensées par la police en Suisse. Les chiffres réels pourraient toutefois être beaucoup plus élevés. Le taux d’élucidation des attaques par ransomware p. ex. ne s’élève qu’à 1,3 %. Les pertes de données ou les dysfonctionnements informatiques qui en résultent peuvent avoir d’énormes conséquences financières.
Que sont exactement les cyberrisques ?
Le mot « cyber » est aujourd’hui sur toutes les lèvres, mais que signifie-t-il au juste ? Cyber vient de l’anglais et désigne tout ce qui a trait au monde virtuel. Pour résumer, le cyberrisque désigne trois atteintes en lien avec des données :
• Dommages propres (suppression de logiciels malveillants, frais de restauration, panne, etc.)
• Dommages à des tiers (perte de données, violation de la protection des données, etc.)
• Extorsion/rançons.
Exemples de dommages réels pour des entreprises de construction métallique
Exemple 1 : dommages causés à des tiers
Situation initiale :
L’entreprise Exemple Construction métallique SA est une entreprise de construction métallique classique de taille moyenne disposant de son propre serveur. Elle effectue une sauvegarde hebdomadaire.
Sinistre :
L’entreprise a été attaquée par un hacker. Des données sensibles de clients et de fournisseurs ont été volées à l’aide d’un cheval de Troie et publiées sans autorisation par le hacker. Certains clients et fournisseurs en subissent une atteinte à l’image et réclament des dommages et intérêts à Exemple Construction métallique SA.
Problème :
Pour Exemple Construction métallique SA, il en résulte un dommage économique pur vis-à-vis de tiers. Les dommages économiques purs sont exclus de l’assurance responsabilité civile d’entreprise classique.
Conséquence :
Exemple Construction métallique SA doit assumer elle-même le dommage subi.
Solution :
Conclure une cyberpolice correspondante incluant les dommages causés à des tiers.
Exemple 2 Social engineering (fraude au président)
Situation initiale :
Exemple Construction métallique SA est une grande entreprise de construction métallique classique qui emploie 30 collaborateurs.
Sinistre :
Un collaborateur de la comptabilité de l’entreprise reçoit un e-mail sécurisé d’un fournisseur qui prétend qu’une livraison urgente attendue par le chef ne peut être envoyée que si le montant dû de CHF 22 500.– est versé immédiatement. Une heure après la réception de cet e-mail, le « fournisseur » téléphone et insiste pour recevoir le virement.
Problème :
Le collaborateur de la comptabilité est débordé, il sait que la soi-disant livraison porte sur du matériel en pénurie et son chef est connu pour être colérique. Il ne souhaite pas que le matériel prétendument commandé par le chef n’arrive pas à temps à cause de lui et vire donc instantanément le montant exigé.
Conséquence :
Le montant de CHF 22 500.– versé est perdu.
Solution :
Conclure une cyberpolice correspondante couvrant le social engineering.
Que peut-on faire pour se prémunir ?
Les entreprises sont des cibles lucratives pour les escrocs. Par rapport aux particuliers, des sommes importantes peuvent y être détournées d’un seul coup. C’est pourquoi les hackers y consacrent plus de temps et agissent de manière plus ciblée et professionnelle que pour des particuliers. Ce sont surtout les services financiers qui sont ciblés. L’assurance responsabilité civile d’entreprise couvre les dommages causés à un tiers par la faute de l’assuré. Toutefois, seuls les dommages corporels et matériels ainsi que les dommages consécutifs qui en résultent sont assurés, mais pas les dommages économiques qui surviennent habituellement en relation avec les cyberrisques. C’est là que les solutions d’assurance cyberrisques interviennent. L’assurance cyberrisques couvre à la fois les dommages causés à des tiers et les dommages subis par l’assuré lui-même (dommages propres). Les dommages propres peuvent p. ex. découler d’actes criminels de tiers qui endommagent ou détruisent des données de l’assuré ou qui entravent, voire interrompent, l’activité commerciale. Une autre technique employée est celle de la tentative de chantage par ransomware : le hacker crypte des données et exige une rançon pour les décrypter.
« L’assurance cyberrisques couvre à la fois les dommages causés à des tiers et les dommages subis par l’assuré lui-même (dommages propres). »
En cas de sinistre, les assurances cyberrisques couvrent régulièrement la compensation des prétentions en dommages-intérêts justifiées ainsi que la défense contre les prétentions en dommages-intérêts injustifiées de tiers. Les frais de restauration du système informatique en cas de données, de programmes et de réseaux endommagés, bloqués ou détruits par une cyberattaque sont également remboursés. En cas d’interruption d’exploitation, la perte de gain ainsi que les autres coûts nécessaires à la poursuite de l’exploitation sont couverts. Le paiement du chantage peut être inclus dans la cyberpolice. Outre la compensation des dommages directement causés par le cyberincident, les coûts comme ceux liés au mandat d’une gestion professionnelle de crise, d’analystes de la criminalité informatique, d’experts en RP et d’avocats spécialisés, sont régulièrement couverts. Enfin, il convient de souligner que les preneurs d’assurance peuvent également collaborer avec leur partenaire informatique existant en cas de sinistre. Cette assurance prend alors en charge les coûts de ce partenaire informatique.
Demandez conseil à PROMRISK SA
Depuis toujours, PROMRISK SA, le courtier officiel d’AM Suisse, se consacre intensivement à la problématique des cyberrisques. Les cyberassurances ne sont présentes sur le marché que depuis quelques années et les produits varient énormément d’une compagnie d’assurance à l’autre. Soulignons que tous les cyberproduits ne conviennent pas à toutes les entreprises. Il faut analyser le risque au cas par cas en fonction de l’entreprise et trouver un partenaire d’assurance approprié. C’est pourquoi nous réalisons chaque année un nouveau comparatif complet des cyberassurances de toutes les compagnies, ce qui nous permet d’avoir toujours accès au meilleur produit du moment en fonction des besoins. Cela inclut également les obligations en cas de sinistre ainsi que le remplissage du questionnaire cyber.
Nous sommes spécialisés dans les cyberrisques de la branche de la construction métallique. Nous vous aidons et vous conseillons volontiers.
Tél. 044 851 55 66 ou info@promrisk.ch
Glossaire
Fraude au président
Escroquerie consistant à duper une entreprise ou un collaborateur en utilisant une fausse identité et en abusant de l’autorité en vue d’un transfert d’argent.
Social engineering
Tentative d’escroquerie par laquelle les escrocs essaient d’amener des personnes à réaliser quelque chose qu’elles ne souhaitent pas faire. Le scénario choisi doit toucher la victime potentielle ou susciter son intérêt. L’objectif est de créer de la proximité et de mettre en place un sentiment de sécurité. Les auteurs se renseignent au préalable sur la structure d’une entreprise ou sur les intérêts personnels d’une personne cible potentielle. Pour ce faire, ils consultent souvent des informations librement accessibles (p. ex. sur le site Internet de l’entreprise ou sur les réseaux sociaux tels que LinkedIn). La personne ciblée est alors confrontée à un scénario sur mesure.
Ransomware
Ce sont des programmes malveillants qui bloquent l’ordinateur ou cryptent les données qui s’y trouvent. Les auteurs font chanter leurs victimes en leur annonçant que l’écran ou les données ne seront récupérés qu’après versement d’une rançon.
Obligations
Il s’agit de règles de comportement qui découlent de votre contrat d’assurance et des conditions d’assurance. En tant que preneur d’assurance, vous êtes tenu au respect de vos obligations spécifiques. Dans le cas contraire, vous mettez en péril votre couverture d’assurance.
