L'assurance pour la sécurité informatique ?

L'assurance pour la sécurité informatique ?

Qui n'a jamais râlé en payant sa facture d'assurance ? Probablement pas grand monde. Cependant l'assurance est parfois obligatoire, comme pour les voitures par exemple. De ce fait, pratiquement tout le monde possède une assurance pour sa voiture. Imaginons un instant que cette assurance ne soit plus obligatoire, de nombreuses personnes arrêteraient de la payer en décidant de prendre le risque. C'est à dire en se disant que le nombre d'accidents est très faible et qu'un sinistre ne coûte pas si cher. Seulement, il suffit d'un accident responsable entraînant la mort pour que cette équation parte en fumée. Et là, l'assurance est bien utile... Non, je ne travaille pas dans les assurances, mais cet exemple me semble probant sur la nécessité de s'assurer.

En informatique, le principe est très facilement transposable. Des vandales peuvent « saboter » votre système et du coup engendrer de grosses pertes d'informations, de temps et donc d'argent. Ces pertes peuvent s'avérer fatales pour les entreprises. Seulement, contrairement aux assurances automobiles, aucune loi oblige les entreprises à se protéger. Du coup, les politiques de sécurités varient d'une entreprise à une autre : Cela va de la forteresse inaccessible depuis Internet au libre accès sans aucun contrôle.

En effet, une autre différence entre l'assurance et la sécurité telle qu'elle est traitée actuellement réside sur l'effet de communauté : Les assurances font payer un peu à tout le monde dans le but de couvrir les sinistres de certains. Ce mécanisme n'est pas du tout utilisé pour la sécurité informatique. Actuellement, la sécurité est toujours un compromis entre le risque et le coût que chaque entreprise évalue en fonction des ses priorités. Ainsi les grosses entreprises, du fait de leur image, peuvent représenter une tentation pour les vandales. De plus, lorsque le système informatique d'une grosse entreprise est en panne, plusieurs milliers de personnes sont au chômage technique, ce qui représente un manque à gagner certain. Aussi dans la majorité des cas, ces entreprises ont mis en place une stratégie de sécurité, plus ou moins efficace, mais la volonté est là. Par contre, les petites entreprises ne se soucient pas du tout de la sécurité car le risque est très faible. Entre ces deux extrêmes, la politique de sécurité des moyennes entreprises dépend aussi de la connaissance du chef d'entreprise. Un chef d'entreprise sensible à l'informatique prendra ce point en considération alors qu'un autre moins attiré par la technologie informatique ne s'en préoccupera pas.

Dans tous les cas, l'efficacité de la démarche de sécurité reste à prouver. Ainsi des sociétés de conseil en sécurité existent pour tester la résistance de la sécurité des entreprises, à leur demande bien sur. Mais dans tous les cas, chaque entreprise traite la sécurité à sa manière. Dans certains domaines très exposés comme la défense, la sécurité est un point fondamental et là il n'est pas question de laisser diffuser des informations à ce sujet. Le niveau de sécurité y est très fort et sans commune mesure avec celui nécessaire pour les entreprises. En effet, les entreprises ne vivent pas en autarcie, elles ont besoin de communiquer avec d'autres entreprises. La sécurité mise en œuvre est alors à peu près la même que dans d'autres entreprises de même grandeur.

Pour chaque entreprise, les montants engagés pour la sécurité sont conséquents. Mais pourquoi ne pas mettre en place une mise en commun des risques? Ainsi, il est possible d'imaginer des entreprises qui assurerait d'autres entreprises d'un point de vue sécurité informatique. Ils imposeraient certaines règles plus ou moins simples de sécurité, et en regard de ces règles, ils garantiraient la sécurité de ces entreprises contre une souscription. Cette approche présente de nombreux intérêts :

  1. La sécurité mise en place serait garantie et donc les entreprises ayant souscris ces assurances seraient sûres de leur système. La sécurité de l'entreprise ne dépendrait plus seulement d'un ou de quelques hommes mais d'une entreprise dont c'est le métier. Ce serait la fin des systèmes de sécurité farfelues qui ne sécurisent pas grand chose.

  2. La démarche pour les entreprises souhaitant sécuriser leur système informatique serait plus simple. Ceci permettrait d'augmenter considérablement le taux d'entreprises sécurisées.

  3. Le poids de tels organismes serait réel pour faire évoluer les lois en matières de sécurité, de cryptage, ... De plus, l'effet de mise en commun aurait des impacts sur la technologie de la sécurité qui pourrait évoluer encore plus vite vers des systèmes fiables.

  4. Et surtout, d'un point de vue financier, des gains sur le coût de la sécurité de chaque entreprise pourraient se dégager.

Dans l'hypothèse où de tels organismes existent, le gouvernement doit-il rendre obligatoire la souscription d'une telle assurance ? La réponse ne peut-être aussi simple que oui ou non. Il n'est pas souhaitable de mettre le couteau sous la gorge des très petites entreprises, pour qui l'investissement initial pourrait être important. Cependant, à condition de moduler suffisamment les tarifs, pour s'adapter aux gros comme aux petits besoins, je pense que la souscription d'une telle assurance est un gage de sécurité pour l'économie française. Ainsi à défaut d'être obligatoire, elle doit être fortement encouragée.

Les PME et les TPE représentent une part importante de l'économie française en terme de nombre d'entreprises et d'employés. Mais ce sont aussi les plus vulnérables concernant la sécurité informatique. A l'heure du tout internet, ces entreprises doivent faire face à une escalade technique de l'informatique et n'ont pas forcément les compétences pour cela.

Une des actions prioritaires de ces assurances serait la formation : En effet, la sécurité commence par la sensibilisation. Si les utilisateurs de messagerie ne se jetaient pas systématiquement sur les fichiers attachés sans se préoccuper des conséquences, le virus ILOVEYOU n'aurait sans doute pas fait autant parler de lui. Autant il est naturel de jeter directement les publicités papiers reçues dans nos boîtes aux lettres, autant il doit être naturel de jeter les messages douteux reçus par la messagerie. Bien sur, il est plus difficile de reconnaître ces messages parmi les autres que les publicités parmi le courrier, mais cela s'apprend. Avec le temps ce sera naturel, mais combien de virus auront contaminer votre machine ? Combien de temps aurez-vous perdu à lire ces messages sans intérêt ? Car la définition du virus au sens large est qu'il vous fait perdre du temps et donc fait perdre de l'argent à votre entreprise. Face à ces comportements, des campagnes de sensibilisation seraient sans aucun doute efficaces. Alors de la même manière que le gouvernement à mener des campagnes pour l'an 2000, pourquoi ne pas en mener sur la sécurité ?

La sécurité est un problème général qu'il est nécessaire de traiter globalement. L'assurance est un moyen mais il en existe probablement d'autres. Alors, que vous soyez dans le gouvernement, chefs d'entreprise, responsables informatiques, ou simples informaticiens, bougez-vous!