Le plan de sauvetage de Jaguar Land Rover par le gouvernement britannique, à hauteur de plusieurs milliards de dollars, n’est pas considéré comme une si bonne décision par un expert en sécurité.
Un membre senior du Cyber Monitoring Center (CMC), une organisation créée l’année dernière pour surveiller, définir et classer les cyberévénements affectant les organisations britanniques, s’est demandé cette semaine si une garantie de prêt gouvernementale de 1,5 milliard de livres sterling (environ 2 milliards de dollars) accordée à Jaguar Land Rover (JLR) aurait dû avoir lieu en premier lieu.
S’exprimant lors d’un événement organisé par le Royal United Services Institute (RUSI) qui examinait les activités du CMC au cours de sa première année de fonctionnement, Ciaran Martin, président du comité technique de surveillance de la cybersécurité du CMC, a évoqué la garantie de prêt annoncée l’année dernière à la suite d’une attaque qui a été décrite comme l’un des pires cyberincidents du Royaume-Uni.
« Je dois souligner que je parle personnellement maintenant. Je pense que la garantie de prêt est un précédent malheureux parce que le gouvernement est intervenu de manière spécifique, en réponse à un ensemble d’événements, sans critères clairs sur la forme que pourrait prendre une telle intervention », a déclaré Martin lors d’une table ronde avec les dirigeants de CMC et Tracey Paul, directrice de la stratégie et des communications chez Pool Re, un réassureur britannique du terrorisme.
Martin, qui est également membre émérite du RUSI, a déclaré : « Il existe clairement un ensemble de scénarios plausibles, réalistes et mauvais, dans lesquels la plupart des citoyens raisonnables s’attendraient à une certaine forme d’activité gouvernementale. Mais il serait préférable d’avoir un cadre, qu’il s’agisse d’une assurance obligatoire, d’une assurance incitative avec des allègements fiscaux, ou d’un ensemble de principes sur ce qui déclencherait l’intervention de l’État. Et sous quelle forme ? Des garanties de prêt ? Autre chose ? »
Pour compliquer les choses, Paul a souligné qu’il existe aujourd’hui une lacune en matière de protection contre la cyberassurance. « Je ne sais pas comment nous allons combler cet écart entre la perte économique potentielle et la perte assurée sans un partenariat entre le gouvernement, le secteur des assurances et d’autres parties du cyberécosystème », a-t-elle déclaré. L’industrie a un modèle de préfinancement et un contrat avec le gouvernement en vertu duquel, si l’assureur manque d’argent, le gouvernement interviendra et prêtera l’argent pour payer les pertes.
« Mais c’est une façon de procéder et je pense qu’ils aimeraient avoir la flexibilité de le faire d’une autre manière », a-t-elle observé. « Mais ce que je pense, c’est qu’il ne peut y avoir de transfert de risque entre le secteur public et le secteur privé à moins d’avoir une sorte de structure autour de ce transfert, et à un moment donné, le gouvernement devra se mettre d’accord sur ce à quoi cela ressemble pour que cela se produise. »
L’impact d’un événement peut « se répercuter sur toute une économie »
Les analystes partagent les préoccupations de Martin.
Erik Avakian, conseiller technique chez Info-Tech Research Group, a déclaré vendredi qu’il « prédit depuis des années maintenant que les attaquants commenceraient à passer d’attaques purement à petite échelle (pensez DDoS) à des perturbations catastrophiques et à la destruction des opérations d’une entreprise ».
L’incident chez JLR, a-t-il déclaré, « montre réellement l’impact sur la résilience globale des opérations commerciales d’une entreprise. Et une fois que cela se produit, les impacts peuvent aller bien au-delà d’un simple manque à gagner trimestriel ».
Avakian a ajouté : « ce que nous avons vu avec l’attaque de Jaguar Land Rover en est certainement un exemple, et a montré qu’un cyber-incident peut arrêter les opérations du monde réel d’une manière dont les impacts peuvent se répercuter sur toute une économie, pas seulement sur les systèmes informatiques ; où une cyberattaque peut avoir un impact direct sur le PIB, l’emploi d’un pays et faire des ravages sur les exportations nationales. »
Il est d’accord avec les sentiments de Martin, expliquant : « à mon avis, l’intervention du gouvernement avec une garantie de prêt crée et envoie un signal selon lequel certaines entreprises pourraient désormais être considérées comme trop importantes pour faire faillite en raison du cyber-risque. Cela peut créer un dangereux précédent car les grandes organisations critiques pourraient devenir des cibles principales pour les cybercriminels s’ils savent qu’une attaque réussie pourrait avoir des conséquences aussi énormes. »
Cela pourrait également conduire à de nouveaux risques, a déclaré Avakian, « dans lesquels les entreprises pourraient potentiellement sous-investir dans leur sécurité si elles pensent qu’il existe un filet de sécurité implicite qui sera là pour elles. La cyber-résilience est plus importante que jamais et devrait être au cœur de la façon dont les organisations envisagent la sécurité et la gestion des risques ; pas seulement comment prévenir une violation, mais comment maintenir les opérations commerciales face aux cyberattaques. »
David Shipley, PDG de Beauceron Security, a ajouté : « un monstre a été créé en utilisant l’assurance pour tromper notre façon d’éviter de prendre le risque de manière plus coûteuse à court terme, mais plus efficace à long terme ».
Pourquoi, a-t-il demandé, les organisations devraient-elles « investir tout leur travail dans l’authentification multifactorielle alors qu’il suffit de souscrire une assurance ? Le problème est maintenant que le monstre de la cybercriminalité nourri par l’assurance est désormais de la taille de Godzilla, et nous ne pouvons pas assurer tous les dommages. Excellent travail. »
Les plans de sauvetage gouvernementaux de l’industrie, a déclaré Shipley, « ne sont que le prochain mauvais pas dans la même décision erronée. Si l’assurance était le crack de la mauvaise gestion des cyber-risques, les plans de sauvetage gouvernementaux sont le fentanyl des entreprises. Peut-être que la réponse intelligente est que nous devons tenir compte du coût réel d’une bonne sécurité de nos biens et services, et investir de manière à ne pas mettre d’argent entre les mains des criminels. »
