Cybersécurité
Par
sos-litiges-58
Hiscox : « Il n’est plus question de savoir si les JO seront cyberattaqués, mais quand et comment ».
15 000 athlètes, 40 000 employés et partenaires, jusqu’à 20 compétitions simultanées mais les Jeux olympiques de Paris risquent de s’accompagner de quatre milliards de cyberattaques. Le risque cyber est plus que jamais une réalité. Interrogé par l'Argus de l'assurance Benjamin Langlet, responsable cyber chez Hiscox en France évoque les dispositions que les entreprises devront prendre pour traverser cette période.
Benjamin Langlet, responsable cyber chez Hiscox en France
Les Jeux Olympiques vont s’accompagner d’une recrudescence des cyberattaques, a-t-on une estimation ?
Benjamin Langlet : Il n’est plus question de savoir si les Jeux seront cyberattaqués mais bien quand et comment, et si les solutions imaginées sont fiables. Les derniers JO à Tokyo ont subi près de 450 millions d’attaques. Aujourd’hui, les experts pensent que les JO de Paris devraient subit entre 8 à 10 fois plus d’attaques. Sans compter que le contexte géopolitique tendu alimente également la cybercriminalité.
Quelle cible sera la plus visée ?
Benjamin Langlet : Il y a deux enjeux pour les groupes de cyber attaquants :
- La couverture médiatique des évènements va attirer les cyberattaquants qui veulent se faire voir et montrer qu’ils ont une force de frappe très importante. Ils vont également chercher à déstabiliser le pays hôte et l’organisation des jeux en eux-mêmes. Ils vont cibler les services de l’État et les entreprises.
- Il y a aussi l’effet d’aubaine et d’opportunité pour les hackeurs. La taille de l’évènement et les enjeux financier leur donne un moyen de pression sur les entreprises qu’ils vont attaquer notamment par des ransomwares.
Quels sont vos recommandations en tant qu’assureur ?
C’est le moment d’activer la prévention. Les entreprises doivent commencer à mettre en œuvre les dispositifs de prévention dès maintenant et les poursuivre pendant ces jeux avec des mesures très simples comme la mise à jour régulière des logiciels et systèmes. Faire des stress test pour les entreprises et surtout former les collaborateurs. On peut se dire que les entreprises françaises ayant réussi à passer entre les gouttes des cyberattaques liées aux JO de Paris 2024, mériteront d’être médaillées tout autant que les athlètes.
2023 était plutôt une bonne année, avec une sinistralité en recul. L’aggravation du risque, c’est à la dire la multiplication des cyberattaques, peut-elle s’accompagner d’un retrait des assureurs du cyber ?
Benjamin Langlet : La sinistralité est en recul. Les actions menées par le passé sur le marché portent leurs fruits, notamment sur les grandes entreprises qui ont les moyens d’investir en prévention. Ce n’est pas le cas des PME, TPE qui n’ont pas forcément la surface financière pour. C’est pourquoi le marché de l’assurance s’est adapté en termes de produits et de primes. Chez Hiscox nous continuions d’accompagner nos assurés sans augmenter la liste des prérequis de façon déraisonnable pour garder l’accessibilité à notre offre.
Il est vrai que l’on sait que 2024 va s’accompagner d’une augmentation de la fréquence des sinistres. Pour autant, on remarque qu’en 2023, les entreprises ont pris le pas sur la cybersécurité parce que malgré l’augmentation de fréquence, l’intensité s’est réduite. Chez Hiscox, nous ne durcirons pas nos conditions de souscription du fait des Jeux olympiques.
Nous pouvons d’ores et déjà prévoir une augmentation de la consommation des prestataires de remédiation. Mais la prévention est clef car si les entreprises sont préparées, il est clair que les conséquences d’une cyberattaque seront moindres que si elles découvrent le risque au moment de l’attaque.
Le marché de la remédiation cyber est-il aujourd’hui suffisamment dimensionné pour faire face à la recrudescence des cyberattaques ?
Benjamin Langlet : C’est quelque chose que nous avons pris au sérieux il y a plusieurs mois pour vérifier que nos prestataires sont dimensionnés, prêt et en mesure de fournir une qualité de service à la hauteur de nos promesses de marque.
Quels sont les risques qui pèsent sur les assurés ?
Benjamin Langlet : Les entreprises cyberattaquées peuvent subir une interruption de leurs activités dans le cadre des JO. Au regard du rebond économique attendu du fait des JO, la perte d’exploitation peut se traduire par un manque à gagner important pour l’entreprise.
Les entreprises risquent également d’être le point d’entrée d’une cyber attaque d’une plus grande ampleur visant à toucher de plus grosses structures. En effet, les très grosses entreprises qui ont répondu aux appels d’offres des JO sont préparées pour ce type de scénario. Les attaquer sera donc plus compliqué. Par contre, leurs sous-traitants peuvent être moins préparés. Ils sont plus facilement attaquables et peuvent constituer une porte d’entrée. Dans ce cas, les entreprises seront touchées dans leur activité mais surtout leur responsabilité peut se voir engagées surtout si elles ont eu un impact sur le bon déroulé des JO ou d’une épreuve. Il y a un risque tant sur le volet cyber que sur le volet responsabilité civile professionnelle dès lors qu’on est dans le cadre d’un engagement contractuel.
Par
sos-litiges-58
Des usurpations possibles
Pratique, rapide et sûre, cette solution permet d’apposer sa signature sur des documents à distance. Mais des vendeurs malintentionnés parviennent à la détourner pour que des consommateurs signent contre leur gré.
Depuis quelques années, apposer son nom de façon manuscrite au bas d’une feuille de papier n’est plus la seule façon de signer un document. Que vous souscriviez un abonnement, achetiez un bien, validiez un devis ou d’autres actes de la vie courante, vous pouvez aussi donner votre consentement officiel de manière totalement dématérialisée. Il faut dire que la signature électronique a l’avantage, pour les sociétés qui y ont recours, d’éviter la paperasse, de limiter les manipulations et de réduire les délais. Plus besoin d’imprimer un contrat, par exemple, de l’envoyer par courrier et d’attendre le retour du destinataire. Tout se fait en ligne en quelques instants. En outre, le système va jusqu’à relancer les signataires et archiver automatiquement les pièces traitées.
La signature électronique est entrée dans le droit français en 2000, lorsque le législateur lui a accordé une valeur juridique identique à celle manuscrite. Depuis, elle s’est développée à son rythme, avant de connaître une accélération fulgurante en 2020, au gré des confinements. Beaucoup de professionnels ont alors vu en elle un bon moyen de continuer à obtenir la souscription de contrats à distance. Résultat : en 2021, 26 % des entreprises auraient instauré une procédure de signature électronique, faisant le bonheur de spécialistes tels que Yousign, Signaturit, DocuSign ou encore Docaposte. Et ce n’est pas terminé !
PROCESSUS TRÈS VARIABLES
Pour être valable aux yeux de la loi, une telle signature doit répondre à deux objectifs. Premièrement, certifier que la personne qui signe est bien celle censée le faire – il faut, par conséquent, que son identité soit vérifiée. Deuxièmement, garantir une inaltérabilité du document une fois émargé, autrement dit l’impossibilité de le modifier. Cependant, les textes n’indiquent rien sur les procédures à mettre en place afin de s’assurer que ces deux conditions sont bien remplies.
Chaque prestataire demeure libre d’employer les outils qu’il veut. À charge pour lui, en cas de litige, de prouver que les obligations liées à la signature électronique ont bien été respectées. Les entreprises souhaitant y recourir ont aussi la liberté de sélectionner, parmi les systèmes qui leur sont proposés, celui qui leur convient le mieux, en fonction des types de documents à signer. « Le choix d’une solution dépend du risque juridique encouru en cas de contestation de la signature. En effet, si on utilise un horodatage qualifié, l’intégrité des documents ne fait pas débat, explique Christian Dayaux, directeur grands comptes chez Universign, devenu Signaturit. Dès lors, plus ce risque est élevé, plus les sociétés ont intérêt à mettre en œuvre des processus solides qui certifient l’identité du signataire. »
Si, en théorie, le simple fait de cocher une case en fin de contrat ou de cliquer sur un bouton « Je signe » peut valoir signature, en pratique cela n’offre qu’un faible niveau de sécurité aux entreprises. Pour donner un peu plus de poids à cet émargement numérique, il n’est donc pas rare qu’elles lui adjoignent un système de code. Le client reçoit sur son téléphone, au moment de signer, un numéro unique qu’il est invité à reporter au bas du document. « Cette procédure ajoute un faisceau de preuves qui peut suffire, pour les contrats les plus courants, à convaincre la justice que la personne en question est bien celle qui devait signer », précise Frédéric Ollivier, responsable chez Docaposte. Cela étant, concernant des documents qui engagent plus sérieusement – offres de prêt, achats immobiliers, investissements importants… –, il y a intérêt à se tourner vers des procédés intégrant des contrôles d’identité encore plus poussés. Ainsi, certains clients se voient demander une copie de leur carte d’identité, voire des photos d’eux-mêmes sous différents angles.
TROP FACILE À CONTOURNER
Techniquement, les processus de signature électronique des principaux prestataires sont solides. Grâce aux nombreuses sécurités mises en place, il est difficilement envisageable qu’un pirate pénètre dans le système pour usurper une signature. Par contre, le contourner reste un jeu d’enfant… Marie-Christine en a fait les frais. En octobre 2021, cette jeune retraitée, veuve depuis peu, répond à une annonce lui proposant une pompe à chaleur pour 1 €. Quelques jours plus tard, un commercial se présente à son domicile. « Après m’avoir posé quelques questions, il me dit que je ne suis pas éligible à l’offre à 1 €, mais que je dois pouvoir bénéficier d’aides gouvernementales. Afin de s’en assurer, il effectue une simulation pour laquelle il me demande de lui communiquer les codes reçus sur mon téléphone », se souvient-elle. Finalement, le vendeur lui promet que l’État lui remboursera 10 400 € sur les 18 900 € que lui coûtera sa pompe à chaleur, soit 55 % du montant total. Marie-Christine signe un contrat papier et, peu de temps après, des techniciens procèdent à l’installation de l’équipement. Sauf qu’il ne fonctionne pas correctement, et que la consommation d’électricité s’avère plus élevée que ce qu’on lui avait annoncé… Surtout, Marie-Christine n’a aucune nouvelle des subventions publiques. En étudiant son dossier, l’association locale UFC-Que Choisir d’Épinal (88), dont elle a sollicité l’assistance, découvre que l’entreprise n’est pas labellisée RGE. Les travaux réalisés ne donnent donc pas droit aux subsides de l’État ! Le bénévole en charge de son affaire constate également qu’en livrant les fameux codes, Marie-Christine n’a pas participé à une simulation comme elle le pensait, mais signé électroniquement une offre préalable de crédit… Si elle ne s’en est pas rendu compte, c’est notamment parce qu’elle n’a reçu aucun document contractuel lié à ce prêt – en particulier aucun bon de rétractation, pourtant obligatoire lors d’une vente hors établissement. Et pour cause, l’adresse e-mail indiquée n’avait rien à voir avec la sienne. Le commercial en a transmis une autre à laquelle il avait lui-même accès, et grâce à laquelle il a pu signer à la place de la cliente !
DES CENTAINES DE CAS SIMILAIRES
À en croire l’association locale d’Épinal, qui a soulevé le lièvre, la mésaventure de Marie-Christine est loin d’être unique. « Nous avons déniché des centaines de cas similaires, dans les domaines de la rénovation, de la vente en ligne, de la formation, du crédit à la consommation ou encore des mutuelles », assure l’un de ses militants. Alors, si ce phénomène demeure aussi méconnu, c’est en partie parce que la plupart des victimes n’ont pas conscience d’avoir été abusées. Certaines, à l’instar de Marie-Christine, étaient d’accord pour signer le contrat, mais pas dans ces conditions… En procédant comme il l’a fait, le commercial n’a respecté ni son devoir d’information ni le droit de la consommatrice. C’est également et surtout lié au fait que les sociétés, une fois confrontées à l’évidence, préfèrent généralement annuler le contrat litigieux plutôt que de prendre le risque que l’affaire s’ébruite. En attendant, pas vu, pas pris !
Les trois types de signature électronique
Le règlement européen eIDAS définit les différentes signatures utilisables par les professionnels.
La simple. C’est la plus répandue, car la plus facile à mettre en place et la moins coûteuse pour les entreprises. Le fait de cocher une case pour donner son consentement, de signer avec le doigt sur une tablette ou d’entrer un code unique peut valoir signature. Mais, en cas de contestation, le professionnel aura du mal à prouver l’identité du signataire. Elle est donc réservée aux documents à faible risque juridique : contrat simple, ouverture de compte bancaire, mandat Sepa, etc.
L’avancée. Elle répond à certaines exigences et garantit l’identité du signataire, qui fournit, notamment, une copie de ses papiers. On l’utilise pour les contrats d’assurance vie, par exemple, ou les compromis de vente immobiliers.
La qualifiée. L’identité du signataire est vérifiée en face-à-face ou dans des conditions de sécurité similaires. On la réserve aux documents engageants fortement, tels les actes authentiques, les gros investissements…
Pratique • Valeur de la signature
Comment savoir si ma signature a été usurpée ?
Une société assure que vous avez signé un contrat par voie électronique, mais vous n’avez reçu aucun document d’elle par courriel ? Vous êtes peut-être victime d’une fraude. Récupérez le fichier de preuves de la signature. Il répertorie adresses e-mail et IP, numéro de téléphone, horodatage de chaque étape, etc. Si les coordonnées et IP indiquées ne sont pas les vôtres, et que le document a été signé quelques secondes après son ouverture, vous disposez d’éléments prouvant l’usurpation.
De quelle manière obtenir le fichier de preuves ?
L’entreprise auprès de laquelle le contrat a été signé est censée vous le fournir. Si elle refuse, contactez le prestataire technique (Yousign, Signaturit, Docaposte, etc.). Certains le transmettent sur simple demande, d’autres seulement sur requête des autorités.
Quels sont mes recours ?
En cas de démarchage, et si les faits datent de moins d’un an, utilisez votre droit de rétractation. Au-delà, vous devrez certainement engager une procédure pour abus de confiance ou usurpation d’identité. Quoi qu’il en soit, joignez la société qui a reçu votre signature. Au vu du fichier de preuves, la plupart préfèrent annuler le contrat.