Cybersécurité & Assurance : Regards croisés entre l'Expert Cloud et l'Assureur

Face à la recrudescence des cyberattaques, la technologie seule ne suffit plus. 

Comment l'entreprise doit-elle se protéger ? Quelle est la part de responsabilité entre l'hébergeur et l'utilisateur ?

Retrouvez l’intervention de Julien Ciullo (Scafe) aux côtés des experts d’AXA France pour comprendre comment sécuriser votre transformation digitale et assurer vos actifs numériques.

Les points clés de la conférence

Cette table ronde jette un pont entre le métier de technicien du Cloud et la vision stratégique de l'assureur face au risque cyber.

1. Les nouveaux défis de la Cybersécurité Cloud

Julien Ciullo rappelle que la migration vers le Cloud (IaaS, PaaS, SaaS) apporte agilité et scalabilité, mais impose de nouveaux enjeux [02:21] :

• Pénurie de compétences : Sécuriser les couches basses et les infrastructures Cloud nécessite des expertises pointues [02:38].
• Gouvernance de la donnée : S'assurer que les applications "Cloud Native" intègrent la sécurité dès leur conception [02:55].
• Politique de sécurité : Adapter sa stratégie aux défis spécifiques des environnements partagés [03:11].

2. Le modèle de Responsabilité Partagée

Nicolas Leseon (Courtier en risques) et Thierry Piton (Expert AXA) détaillent un point crucial souvent méconnu : la responsabilité n'est jamais totale côté prestataire [05:03].

• Plus vous consommez des services de type IaaS (Infrastructure as a Service), plus votre responsabilité en tant qu'utilisateur est grande (configuration des VM, mises à jour des OS, etc.) [06:03].
• Le conseil de l'expert : Ne perdez pas de temps à chercher le coupable lors d'une crise ; assurez votre propre risque pour garantir une indemnisation rapide et laissez l'assureur gérer les recours éventuels [06:37].

3. Retours d'expérience : Des anecdotes concrètes

L'expert d'AXA partage des sinistres emblématiques constatés sur le terrain :

• L'attaque à 100 000 € : Une start-up dont le compte Cloud a été piraté en 8 secondes (faute de MFA/Authentification forte). Résultat : des centaines de machines virtuelles créées par l'attaquant en un week-end pour miner de la cryptomonnaie [07:15].
• La fuite de données via Confluence : Malgré un patch de sécurité appliqué, une "backdoor" avait déjà été installée, permettant l'extraction de mots de passe et de fichiers clients [08:44].

Les intervenants

• Julien Cuillo : Responsable de l'activité Cybersécurité chez Scafe.
• Thierry Piton : Souscripteur expert en risques cyber chez AXA France.
• Nicolas Leseon : Conseiller en gestion des risques et courtier en assurance.

Anticipez votre risque Cyber avec Scafe

En tant que filiale du Groupe AODB, Scafe vous accompagne dans la mise en place d'une gouvernance cyber robuste et le déploiement de solutions techniques (MFA, audits de configuration, surveillance) pour réduire votre exposition aux risques.

Contacter nos experts Cyber

FAQ : Cybersécurité et Assurance Cloud

1. Qu’est-ce que le risque cyber du point de vue d’un assureur ?

Le risque cyber est défini comme l'ensemble des conséquences découlant d'incidents ou d'atteintes à la sécurité des données et des systèmes informatiques. Cela inclut :

• Les dommages aux tiers : Responsabilité civile envers les clients ou utilisateurs. 

• Les dommages propres : Frais de décontamination, gestion de crise, perte d’exploitation et restauration de données. 

2. Pourquoi est-il crucial de sécuriser son Cloud avant de souscrire à une assurance ?

L’assurance intervient pour le transfert du risque résiduel. Cela signifie que l’entreprise doit impérativement traiter et réduire ses risques en amont par des mesures techniques et organisationnelles avant de pouvoir transférer ce qui reste à l’assureur. 

3. Qu'est-ce que le modèle de "responsabilité partagée" dans le Cloud ?

C'est un concept fondamental où la sécurité est répartie entre le fournisseur de Cloud et l'utilisateur :

• SaaS (Software as a Service) : La responsabilité du fournisseur est maximale.

• IaaS (Infrastructure as a Service) : L'utilisateur a une responsabilité bien plus grande (configuration des VM, mises à jour des OS, etc.). Note : Plus on descend dans les couches techniques (vers le IaaS), plus l'utilisateur doit posséder de compétences internes pour assurer sa sécurité. 

4. Quels sont les principaux défis de la migration vers le Cloud ?

Selon les experts, trois enjeux majeurs se démarquent :

• Les compétences : Besoin d'expertises spécifiques sur les infrastructures et les couches logicielles. 

• La donnée : Vérifier la compatibilité des données et la transformation des applications en mode "cloud natif". 

• La gouvernance : Intégrer des politiques de sécurité dédiées aux spécificités du Cloud. 

5. Quelles sont les conséquences d'un accès Cloud mal sécurisé (ex: absence de MFA) ?

Une simple erreur, comme l'oubli de l'authentification multi-facteurs (MFA) sur un seul compte, peut être catastrophique.

• Exemple concret : Une start-up a subi une surfacturation de 100 000 € en un seul week-end après qu'un attaquant a pris le contrôle de sa console Cloud pour lancer des centaines de machines virtuelles. 

6. Un serveur patché est-il totalement à l'abri des cyberattaques ?

Pas nécessairement. La conférence cite le cas d'une entreprise ayant patché une faille critique (CVE) dès le lendemain de son annonce. Cependant, un attaquant avait déjà réussi à s'infiltrer et à installer une "backdoor" (porte dérobée) avant que le patch ne soit appliqué, permettant l'extraction de données sensibles plus tard. 

7. Quel est le rôle du courtier en assurance cyber ?

Le courtier agit comme l'intermédiaire conseil entre l'assuré (l'entreprise) et l'assureur (comme AXA). Son rôle est d'aider l'entreprise à évaluer ses risques et à trouver la police d'assurance la plus adaptée à ses besoins spécifiques.