Ile Maurice: Sarah Hamlat-Nael – «L'intelligence humaine reste la meilleure cyber protection»
Face à l’explosion des attaques informatiques, les entreprises se trouvent plus que jamais en première ligne. Pour Sarah Hamlat-Nael, «Senior Cyber Underwriter» chez QBE Insurance Middle East et intervenante au récent événement organisé par Eagle Insurance, la menace ne vient plus seulement des rançongiciels mais aussi des vulnérabilités des fournisseurs, du cloud et de l’usage malveillant de l’intelligence artificielle (IA). Elle plaide pour une approche intégrée, combinant prévention, formation et assurance, où la vigilance humaine demeure la première ligne de défense.
Quelles sont, selon vous, les menaces cyber les plus sous-estimées qui risquent de dominer les prochaines années ?
Les attaques par rançongiciel (un type d’attaque informatique qui bloque l’accès à l’appareil ou aux fichiers d’une victime et qui exige le paiement d’une rançon en échange de son rétablissement) ont quasiment triplé depuis l’année dernière et d’après nos projections, elles vont toucher plus de 7 000 organisations à travers le monde en 2026.
Suivez-nous sur WhatsApp | LinkedIn pour les derniers titres
Mais la plupart des entreprises ont conscience de ce risque. En revanche, elles ne prennent pas toutes en compte pour l’instant les vulnérabilités liées aux fournisseurs informatiques ou autres. De nombreuses entreprises utilisent les plateformes cloud et près de la moitié des données qu’elles y sauvegardent sont des données sensibles. Pour les hackeurs, le cloud est très tentant.
Quand un incident survient, quelles sont les erreurs les plus critiques commises par les entreprises dans les premières 24 heures ?
Paniquer. Quand une entreprise est touchée, c’est très déstabilisant. Les dirigeants ont envie de régler le problème au plus vite ; ils sont inquiets, surtout s’ils sont très impliqués dans leur boîte. Dans ce genre de situation, la précipitation est mauvaise conseillère et elle engendre la plupart des erreurs. En cas d’attaque, il faut s’organiser. Les bons réflexes visent à endiguer l’attaque avec une organisation des équipes internes et externes.
Avec des budgets limités, quelles mesures offrent les meilleurs retours en réduction du risque et lesquelles sont souvent surévaluées ?
Cela dépend de chaque entreprise : les risques ne sont pas les mêmes suivant la taille, le secteur d’activité, le profil de la clientèle, la chaîne d’approvisionnement et beaucoup d’autres facteurs. C’est pour cela qu’il faut bien évaluer la situation de départ. À ce titre, réaliser un diagnostic cyber me semble être un investissement initial qui vaut le coup.
Ce diagnostic permet justement de définir les priorités. Quant aux mesures dont l’efficacité est surévaluée ou sous-évaluée, je dirais que la sécurité informatique a peut-être une image très technique. On pense tout de suite à des serveurs, des pare-feu, des mises à jour de logiciels ou des stockages externes – et c’est vrai que tout cela est important. Mais la dimension humaine est aussi cruciale.
Lorsqu’un hackeur lance une attaque d’ingénierie sociale, il tente d’exploiter une faille humaine. Il essaie de se faire passer pour un interlocuteur légitime afin d’obtenir l’accès au système ou d’extorquer de l’argent. Les entreprises doivent donc bien former leurs collaborateurs pour s’assurer qu’ils comprennent les enjeux, maîtrisent les outils et mettent en oeuvre les bonnes pratiques. En effet, les employés, bien formés et bien équipés, forment la meilleure ligne de défense. En quelque sorte, on peut dire que l’IA est la meilleure cyber protection.
Comment fonctionnent réelle- ment les assurances cyber, et comment le marché évolue-t-il pour lever les doutes des entreprises sur les exclusions et l’indemnisation ?
Les principales garanties concernent : les cyber attaques (rançongiciels, malwares, déni de service), les violations de données (accès non autorisé, vol d’informations), les erreurs humaines (négligence d’un employé) ou encore les défaillances techniques (panne informatique). Certaines polices distinguent entre les risques internes à l’entreprise et ceux provenant de l’extérieur. Sont généralement couverts les pertes d’exploitation, les frais de gestion de crise, la cyber extorsion et la reconstitution des données.
Des garanties de responsabilité civile peuvent s’ajouter. Enfin, des extensions peuvent également couvrir la fraude informatique. Les polices ont répondu à plusieurs événements et indemnisé plusieurs entreprises, ce qui montre leur efficacité. Le plus important est de discuter avec son courtier et assureur pour comprendre l’étendue de la police et s’assurer qu’elle répond aux besoins de l’entreprise.
En quoi la montée des attaques pilotées par l’IA et les vulnérabilités des chaînes d’approvisionnement changent-elles la manière de concevoir la défense et la réponse aux incidents ?
Le cloud continue d’être en plein essor. Les entreprises sont de plus en plus nombreuses à l’utiliser et près de la moitié des données qu’elles y sauvegardent est classée comme sensible. C’est une cible de choix pour les hackeurs. En 2024, les alertes graves sur le cloud ont augmenté de 235 % par rapport à l’année précédente.
Et cette tendance promet de se poursuivre. La plupart des attaques dans le cloud visent les e-mails professionnels. Les pirates utilisent des plateformes de confiance comme Microsoft 365 pour lancer des attaques de phishing dans le but de voler des identifiants ou de prendre le contrôle de comptes. Les entreprises doivent donc bien protéger leur cloud et maîtriser les vulnérabilités liées à leurs fournisseurs de services.
Par ailleurs, les pirates informatiques utilisent l’IA pour mener leurs attaques. L’année dernière, 10 % des cyber attaques réussies utilisaient un deepfake – des images et des voix de synthèse qui imitent un interlocuteur légitime. Les pertes liées à ce type de fraude allaient de USD 250 000 à USD 20 millions, selon les cas. L’IA générative facilite non seulement les deepfakes et l’usurpation d’identité mais elle permet aussi d’automatiser les attaques de phishing, ces emails et textos frauduleux qui incitent les destinataires à cliquer sur des liens dangereux.
Elle aide en outre les pirates à coder avec plus de précision et de rapidité. Les groupes de hackeurs qui auparavant n’avaient pas les moyens techniques pour constituer une menace réelle peuvent désormais causer des graves dégâts aux entreprises et semer la pagaille dans divers secteurs économiques. D’un autre côté, l’IA permet de détecter les anomalies plus vite et donc, de réagir plus tôt aux attaques.
Quelles actions concrètes peuvent permettre aux entreprises de démontrer une meilleure maturité cyber et de négocier des primes plus avantageuses ?
Il y a au moins cinq axes à explorer. D’abord, la sécurité informatique générale, avec notamment des mises à jour régulières, une authentification multifacteur (MFA) pour les accès à distance et les comptes à privilège, des scans de vulnérabilité et des tests d’intrusion.
Ensuite, la formation des employés pour qu’ils sachent détecter et réagir à une attaque, avec éventuellement, des simulations de phishing. Aussi, il y a un plan de continuité des activités, avec des sauvegardes hors ligne des données critiques, peut-être une séparation du back end et du front end, une segmentation géographique et un processus de reprise. On relève également la protection des données sensibles, par cryptage ou en accès limité, et enfin, la conformité avec les normes en vigueur. Il faut dire que la cyber sécurité et la cyber assurance sont deux outils complémentaires de management.
Si vous ne deviez donner qu’un seul conseil aux dirigeants en matière de cyber sécurité ou d’assurance cyber, quel serait-il ?
N’hésitez pas à prendre conseil ! Les experts informatiques et les avocats peuvent vous fournir des conseils sur les plans technique et opérationnel. Et les courtiers en assurance peuvent vous guider vers les choix adaptés aux besoins de votre entreprise pour davantage de protection. J’ajouterais que si vous souscrivez une police cyber, elle vous apportera aussi probablement des ressources en termes de gestion des risques, voire un accès à des experts pour aider votre entreprise à se remettre d’une attaque. L’assurance cyber offre une couche supplémentaire de tranquillité d’esprit.
