La prévention des risques de la cybercriminalité

30 AVRIL 2021 Nos actualités

Le risque cyber est l’un des risques modernes contre lesquels un assureur citoyen se doit d’engager des mesures de prévention autant que de protection

QUELLE PREVENTION ET QUELLES REACTIONS CONTRE LES RISQUES LIES A LA CYBERCRIMINALITE ?

Comment éviter les cyberattaques ? 

Espionnage, vol de données, « phishing », rançongiciels, fraudes en tout genre : les menaces de la cybercriminalité n’ont jamais été aussi concrètes. Comme le risque environnemental, le risque cyber est l’un des risques modernes contre lesquels un assureur citoyen se doit d’engager des mesures de prévention autant que de protection. 

Et ce risque est encore plus présent depuis les confinements, qui ont introduit voire imposé l’usage de nouveaux moyens de communication afin de rester en contact avec ses proches. Le risque cyber s’est ainsi accentué avec la pratique du télétravail, dont il devient un risque inhérent.

Souvent, les utilisateurs sont peu ou mal formés aux risques liés à la cybercriminalité, et aux techniques de prévention de ces risques.

Fidèles à ce qui est l’une de leurs priorités en tant qu’assureur et en tant qu’acteur de la Cité, AXA et les Mutuelles AXA se sont organisées pour développer les actions de prévention contre les menaces de la cybercriminalité.

Quelles sont les bonnes pratiques recommandées pour une protection contre les fraudes sur internet ? Quelles sont les mesures mises en place par un assureur comme AXA contre la cybercriminalité quand la prévention n’a pas suffi ?

LES BONNES PRATIQUES DE PREVENTION DU RISQUE CYBER ET DE LA CYBERCRIMINALITE

Pour assurer une efficace prévention du risque cyber, plusieurs bonnes pratiques sur internet peuvent sont recommandées par les experts.

Elles concernent principalement le choix des mots de passe, les comptes e-mail, la protection des données personnelles, la protection contre le « phishing » ou hameçonnage, et la sécurité du télétravail.

COMMENT PRESERVER LA SECURITE DES MOTS DE PASSE ?

Plusieurs bonnes pratiques de prévention du risque cyber s’appliquent aux mots de passe :

  1. La formulation même du titre indique la première bonne pratique : surtout, ne pas utiliser le même mot de passe pour tous les sites internet utilisés – s’il est compromis, tous les accès le seront.
  2. Qu’est-ce qu’un bon mot de passe ? Classiquement, un mot de passe complexe doit contenir des chiffres, des lettres majuscules et minuscules, et des symboles spéciaux comme les points d’interrogation ou d’exclamation.
  3. Quelle est la meilleure stratégie ? Changer régulièrement de mot de passe en utilisant chaque fois un mot de passe facile à mémoriser ? Ou bien utiliser un mot de passe complexe quitte à en changer moins souvent ? S’il faut vraiment choisir, la deuxième technique est assurément la plus recommandable.
  4. Faut-il utiliser des gestionnaires de mots de passe ? Oui ! Fonctionnant à la fois comme des coffres-forts numériques et des générateurs de mots de passe, les gestionnaires de mots de passe sont sûrs et accessibles. Pour savoir comment utiliser les gestionnaires de mots de passe et télécharger Keepass, un didacticiel très bien fait existe sur le site de la CNIL (Commission Nationale de l'Informatique et des Libertés).

LE COMPTE E-MAIL PRINCIPAL, CENTRE NEVRALGIQUE DE LA PROTECTION CONTRE LE RISQUE CYBER

Un soin tout particulier doit être apporté à la sécurité de son e-mail principal. En effet, c’est par cet e-mail que circulent tous les messages de vérification ou de sécurité pour débloquer les sites auxquels cette adresse a été associée. Son mot de passe doit donc être particulièrement complexe.

Le plus dangereux, et cette pratique est malheureusement répandue, est d’utiliser un e-mail professionnel et le mot de passe associé pour faire des achats privés sur les sites de e-commerce. C’est le meilleur moyen de compromettre à la fois son internet professionnel et son internet personnel.

COMMENT PROTEGER SES DONNEES PERSONNELLES SUR INTERNET ?

Les internautes européens ont la chance d’être protégés par le RGPD, qui reprend bon nombre de dispositions de la loi 1978 en France, déjà visionnaire.

Il est possible de demander les fichiers des données personnelles détenues par chaque site internet utilisé. Souvent, la démarche pour obtenir ces fichiers est assez simple. 

Mais le plus efficace pour éviter un détournement de données personnelles est sans doute d’éviter de soumettre ces données en premier lieu. Ainsi, il faut toujours vérifier la pertinence des demandes d’informations personnelles : par exemple, pourquoi donner sa date de naissance complète à un site de e-commerce ?

COMMENT SE PROTEGER CONTRE LE PHISHING OU HAMEÇONNAGE ?

Le phishing ou hameçonnage est de plus en plus répandu. Parfois, les techniques utilisées sont grossières, avec des sites internet faits à la va-vite et peu ressemblants aux sites légitimes, avec beaucoup de fautes d’orthographe.

Parfois, il est difficile de réaliser qu’il s’agit d’une fraude sur internet.

Pour se protéger du phishing, du hameçonnage, en cas du moindre doute sur un message suspect, il est possible de contacter le site cybermalveillance.gouv.fr, un service public efficace et réactif.

COMMENT ASSURER LA SECURITE DES OUTILS DU TELETRAVAIL ?

La sécurité du télétravail et les risques liés aux outils internet mis à disposition dans son cadre sont devenus des enjeux très concrets. Les risques de cybercriminalités sont réels, les dangers de fuites de données ou de piratage multiples, d’autant que les outils sont souvent mis en place dans la précipitation par les entreprises à la suite des réorganisations imposées par la pandémie de COVID. De plus, ces outils sont souvent mal maîtrisés, et les notifications légitimes mal distinguées des dispositifs de piratage. 

Il est essentiel d’apprendre à utiliser les outils mis à disposition, et en cas de doute, même minime, de ne pas hésiter à poser la question à un collègue, à l’équipe sécurité, ou au département informatique de l’entreprise.

LE SOUTIEN D’UN ASSUREUR COMME AXA AUX VICTIMES DE LA CYBERCRIMINALITE

Quand la prévention du risque cyber n’a pas suffi, un assureur se doit d’apporter les aides et soutiens nécessaires aux victimes de la cybercriminalité, particulièrement en entreprise, afin que l’activité puisse reprendre rapidement.

LES GARANTIES D’UNE ASSURANCE CONTRE LE RISQUE CYBER

AXA a développé une assurance spécifique « Cyber Risques » qui s’adapte aux besoins des entreprises de toutes tailles, car malheureusement, même les plus petites PME sont aujourd’hui exposées à la cybercriminalité. Selon une étude de la CPME, plus de 40% des entreprises de moins de 50 salariés déclarent avoir déjà été victimes de cybercriminalité ou de cyberattaques.

Les menaces les plus courantes sont couvertes :

  1. Fuite ou détournement de données clients,
  2. Pertes d’exploitation,
  3. Atteinte à l’e-réputation,
  4. Ransomwares ou « rançongiciels » demandant une rançon en l’échange du déblocage des systèmes informatiques ou de la restitution des données. 
  5. Les garanties concernent un plan d’action et de prévention en trois volets :
  6. Identification de la source, du fonctionnement et des ramifications du programme malveillant utilisé,
  7. Suppression, désactivation du programme malveillant et réparation des données infectées,
  8. Analyse de l’incident et recommandations de mesures de sécurisation dans une optique de prévention,
  9. Prise en charge des frais de communication engagés pour satisfaire à l’obligation légale d’information des clients de cette attaque cybercriminelle.

TEMOIGNAGE DE CLIENT PROFESSIONNEL VICTIME DE CYBERCRIMINALITE

Nicolas Quillévéré, gérant de la PME Village del Mar à Argelès-sur-Mer dans les Pyrénées Orientales, est assuré AXA. 

Son système informatique a été victime d’une cyberattaque qui a complètement bloqué tout le système informatique de son entreprise, renvoyant à une adresse e-mail pour une demande de rançon. Le fichier client était inaccessible, et il était devenu impossible pour ce gérant de camping de prendre une réservation.

AXA a dès le lendemain du signalement de l’assuré pris en charge les actions suivantes, ainsi que toutes les dépenses liées :

  1. Prise de contact avec un expert en cybercriminalité,
  2. Réinstallation des serveurs,
  3. Restauration des données,
  4. Remplacement des disques durs,
  5. Gestion des formalités réglementaires.

En 4 jours, l’entreprise a pu reprendre une activité normale.

Découvrez le témoignage de ce chef d’entreprise victime de cyberattaque sur le site AXAlive.