Source : ENISA |
L'ENISA, l'organisme européen en charge des questions de "cyber-sécurité" produisait récemment une étude sur le marché des assurances et les offres de celles-ci pour couvrir les risques en matière de sécurité informatique.
L'annonce du rapport est disponible sur leur site, accompagné d'une série de diapositives. C'est l'occasion de l'analyser.
Rappelons également quelques articles publiés sur ce blog au sein desquels la problématique de l'assurance était abordée. Globalement, il semble que les questions posées demeurent identiques, à savoir : peut-on améliorer le niveau de sécurité par le recours aux assurances ou bien cela ne conduira-t-il qu'à un transfert de la gestion des risques. Sur ce dernier point, on prendra garde à ne pas confondre le transfert du risque préalablement analysé par une méthode idoine avec le transfert de la gestion du risque. Dans le second cas, cela revient à refuser de considérer lesdits risques en se bornant à provisionner des sommes d'argents pour gérer les ennuis.
Revenons aux travaux présentés par l'organisation : ceux-ci identifient un "état de l'art", des barrières et des recommandations.
Un premier point intéressant est que ce marché n'est pas nouveau puisque les premiers contrats ont débuté dans les années 70. Toutefois, il semble que la majorité des sociétés qui en proposent soient localisées aux Etats-Unis. Peut-on y voir un nouveau domaine à "conquérir" en Europe ?
Au niveau des risques couverts, on trouve communément les dommages issus d'atteintes sur la disponibilité des systèmes ou encore la fuite de données personnelles. En revanche, il semble que les assurances refusent de couvrir des cas particuliers comment les atteintes à la réputation ou l'espionnage industriel ou enfin la protection de la propriété intellectuelle. Or, comme ces sujets concernent des intérêts majeurs de la protection de l'information, l'élévation de la SSI par l'assurance ne semble pas un effet perceptible immédiatement ou à court-terme.
Toutefois, c'est surtout au niveau des barrières et des défis que reposent, à mon sens, tout l'intérêt de cette problématique. De manière générale, l'ENISA identifie deux problématiques majeurs :
- le manque de données fiables et la difficulté à les rassembler ;
- la difficulté à estimer les risques et les coûts induits qui permettraient aux assureurs de développer des offres réelles crédibles : le coût de l'assurance, les contraintes et les remboursements.
Or, dans un récent article, ces deux aspects étaient également évoqués. En effet, la mise en oeuvre de la sécurité dans les organisations, dans une perspective défensive ou simplement de protection semble buter aujourd'hui sur notre faculté à identifier de manière précise les menaces ou l'adversaire. Une rhétorique abusive et controversée orientée autour d'une approche très légère de ces problématiques n'aide en rien à sa compréhension fine et à la définition des modèles d'action.
Contrairement à ce blog, pour le moment, l'ENISA développe également une courte liste des moyens permettant de résoudre ces problèmes. Autour de la question de l'information, elle préconise notamment de s'appuyer sur les obligations légales ou réglementaires d'informations des incidents de sécurité : Art. 13a du "paquet télécom" ou encore l'obligation d'informations en cas de fuites de données personnelles.
En ce qui concerne la mesure et l'analyse des riques, une sorte d'actuaire de la SSI, il sera visiblement nécessaire de développer des "frameworks" ou des cadres d'analyse commun. Cette recommandation illustre à elle-seule tant le besoin que l'absence de ces méthodologies d'analyse et de calculs.
L'augmentation du niveau de sécurité de l'information par le recours plus systématique à l'assurance semble aujourd'hui en voie d'amélioration. Si le ressenti immédiat des effets persiste encore à être un "doux rêve", le document montre ici une démarche volontariste identifiant de manière tout à fait intéressante les besoins et manquements. Enfin, il semble que cette démarche analytique puisse être rapprochée de besoins du même type dans des domaines comme la LID. C'est donc, finalement, un premier pas et sans doute un progrès dans l'amélioration de nos capacités à créer un écosystème de sécurité.
Source :
dans le texte
Aucun commentaire:
Enregistrer un commentaire