Les JO 2024 cyberattaqués?

Hiscox : « Il n’est plus question de savoir si les JO seront cyberattaqués, mais quand et comment ».

15 000 athlètes, 40 000 employés et partenaires, jusqu’à 20 compétitions simultanées mais les Jeux olympiques de Paris risquent de s’accompagner de quatre milliards de cyberattaques. Le risque cyber est plus que jamais une réalité. Interrogé par l'Argus de l'assurance Benjamin Langlet, responsable cyber chez Hiscox en France évoque les dispositions que les entreprises devront prendre pour traverser cette période. 

Benjamin Langlet, responsable cyber chez Hiscox en France

Les Jeux Olympiques vont s’accompagner d’une recrudescence des cyberattaques, a-t-on une estimation ?

Benjamin Langlet : Il n’est plus question de savoir si les Jeux seront cyberattaqués mais bien quand et comment, et si les solutions imaginées sont fiables. Les derniers JO à Tokyo ont subi près de 450 millions d’attaques. Aujourd’hui, les experts pensent que les JO de Paris devraient subit entre 8 à 10 fois plus d’attaques. Sans compter que le contexte géopolitique tendu alimente également la cybercriminalité.

Quelle cible sera la plus visée ?

Benjamin Langlet : Il y a deux enjeux pour les groupes de cyber attaquants :

• La couverture médiatique des évènements va attirer les cyberattaquants qui veulent se faire voir et montrer qu’ils ont une force de frappe très importante. Ils vont également chercher à déstabiliser le pays hôte et l’organisation des jeux en eux-mêmes. Ils vont cibler les services de l’État et les entreprises.
• Il y a aussi l’effet d’aubaine et d’opportunité pour les hackeurs. La taille de l’évènement et les enjeux financier leur donne un moyen de pression sur les entreprises qu’ils vont attaquer notamment par des ransomwares.

Quels sont vos recommandations en tant qu’assureur ?

C’est le moment d’activer la prévention. Les entreprises doivent commencer à mettre en œuvre les dispositifs de prévention dès maintenant et les poursuivre pendant ces jeux avec des mesures très simples comme la mise à jour régulière des logiciels et systèmes. Faire des stress test pour les entreprises et surtout former les collaborateurs. On peut se dire que les entreprises françaises ayant réussi à passer entre les gouttes des cyberattaques liées aux JO de Paris 2024, mériteront d’être médaillées tout autant que les athlètes.

2023 était plutôt une bonne année, avec une sinistralité en recul. L’aggravation du risque, c’est à la dire la multiplication des cyberattaques, peut-elle s’accompagner d’un retrait des assureurs du cyber ?

Benjamin Langlet : La sinistralité est en recul. Les actions menées par le passé sur le marché portent leurs fruits, notamment sur les grandes entreprises qui ont les moyens d’investir en prévention. Ce n’est pas le cas des PME, TPE qui n’ont pas forcément la surface financière pour. C’est pourquoi le marché de l’assurance s’est adapté en termes de produits et de primes. Chez Hiscox nous continuions d’accompagner nos assurés sans augmenter la liste des prérequis de façon déraisonnable pour garder l’accessibilité à notre offre.

Il est vrai que l’on sait que 2024 va s’accompagner d’une augmentation de la fréquence des sinistres. Pour autant, on remarque qu’en 2023, les entreprises ont pris le pas sur la cybersécurité parce que malgré l’augmentation de fréquence, l’intensité s’est réduite. Chez Hiscox, nous ne durcirons pas nos conditions de souscription du fait des Jeux olympiques.

Nous pouvons d’ores et déjà prévoir une augmentation de la consommation des prestataires de remédiation. Mais la prévention est clef car si les entreprises sont préparées, il est clair que les conséquences d’une cyberattaque seront moindres que si elles découvrent le risque au moment de l’attaque.

Le marché de la remédiation cyber est-il aujourd’hui suffisamment dimensionné pour faire face à la recrudescence des cyberattaques ?

Benjamin Langlet : C’est quelque chose que nous avons pris au sérieux il y a plusieurs mois pour vérifier que nos prestataires sont dimensionnés, prêt et en mesure de fournir une qualité de service à la hauteur de nos promesses de marque.

Quels sont les risques qui pèsent sur les assurés ?

Benjamin Langlet : Les entreprises cyberattaquées peuvent subir une interruption de leurs activités dans le cadre des JO. Au regard du rebond économique attendu du fait des JO, la perte d’exploitation peut se traduire par un manque à gagner important pour l’entreprise.

Les entreprises risquent également d’être le point d’entrée d’une cyber attaque d’une plus grande ampleur visant à toucher de plus grosses structures. En effet, les très grosses entreprises qui ont répondu aux appels d’offres des JO sont préparées pour ce type de scénario. Les attaquer sera donc plus compliqué. Par contre, leurs sous-traitants peuvent être moins préparés. Ils sont plus facilement attaquables et peuvent constituer une porte d’entrée. Dans ce cas, les entreprises seront touchées dans leur activité mais surtout leur responsabilité peut se voir engagées surtout si elles ont eu un impact sur le bon déroulé des JO ou d’une épreuve. Il y a un risque tant sur le volet cyber que sur le volet responsabilité civile professionnelle dès lors qu’on est dans le cadre d’un engagement contractuel.