La cyberassurance ? Vitale…et négligée

Les entreprises françaises sous-estiment les cyber-risques. Grave erreur. La souscription d’une assurance dédiée se révèle plus que jamais vitale…

Votre entreprise est-elle confrontée au cyber-risque ? La réponse est oui, sans exception. En 2017, en Europe, les hôpitaux britanniques, le fournisseur de télécoms espagnol Telefónica, Saint-Gobain, le ministère russe de l’Intérieur ou la Deutsche Bahn, parmi beaucoup d’autres, ont été ciblés par les logiciels de ransomware (rançonnage) WannaCry et Petya. Le ministre de l’Intérieur Gérard Collomb s’est montré fort net et alarmiste lors du Forum international de la cybersécurité 2018 : « À travers le monde, ce sont des dizaines d’entreprises multinationales, des milliers de PME qui ont vu leurs serveurs bloqués par une cyberattaque. » En dépit de quoi, l’étude Deloitte Enjeux cyber 2018, publiée en janvier, montre que les entreprises et institutions françaises ne sont que 24 % à avoir souscrit une assurance « cyber ». Michael Bittan, associé responsable des activités cybersécurité chez Deloitte, prêche la bonne parole : « Souscrire à une cyberassurance minimise l’impact financier d’un incident, mais c’est aussi l’occasion d’établir une évaluation préalable du degré de risque de sécurité pour connaître la maturité de son système d’information et ses multiples vulnérabilités »

Un risque sous-estimé…

« Aujourd’hui, le marché mondial de la cyberassurance est estimé osciller entre 3 et 3,5 milliards de dollars. Le marché américain capte 85 à 90 % de ces primes. L’Europe, elle, ne représente encore que 5 à 9 % de ce marché, soit un montant maximum de 255 millions d’euros (300 millions de dollars) de primes, sur lesquels la France ne représente que 40 millions d’euros. Il existe de toute évidence un immense décalage entre pays développés sur la perception du risque et l’investissement assurantiel consenti pour s’en protéger », confirme Bernard Spitz, président de la Fédération française de l’assurance dans un rapport du think tank Club des Juristes consacré au risque cyber.
En réalité, Si les grands groupes ont, dans leur ensemble, engagé des mesures concrètes, la prise en compte des risques cyber par les entreprises de taille intermédiaire se révèle contrastée. Selon une récente enquête menée par Bessé et PWC France, et Afrique francophone, 76 % des ETI ont déjà subi une cyberattaque. Pourtant, d’une manière générale, les dirigeants interrogés ne sont pas parvenus à donner de définition précise à la notion de cyber-risque. Ils ont cependant conscience qu’il s’agit d’un danger d’une extrême complexité, de nature à s’amplifier. Mais, paradoxalement, ces dirigeants ne se sentent pas encore directement exposés. Pour la grande majorité d’entre eux, la menace cyber est du reste perçue comme un danger essentiellement externe (cybercriminalité) : ils sous-estiment leurs vulnérabilités internes. Or, dans les faits, la menace intérieure se révèle majeure. Selon l’étude, seuls 17 % des incidents cyber sont imputables à des réseaux externes organisés. À l’inverse, 54 % des sociétés françaises sondées témoignent que ces attaques proviennent d’employés actuels ou anciens (des employés qui ne sont pas véritablement les auteurs des attaques mais qui vont favoriser par imprudence la propagation des malwares).
Autre constat de l’enquête, la gestion du cyber-risque n’est pas encore perçue comme stratégique mais bien comme technologique. Les dirigeants d’ETI délèguent souvent la gestion et la prévention des risques cyber à leur direction des systèmes d’information (DSI), aux équipes informatiques ou à leurs sous-traitants, alors même que ce risque est de nature à impacter et/ou paralyser l’entreprise dans son ensemble. Dernier point saillant de l’étude, l’assurance n’est pas encore perçue par les dirigeants comme un outil de traitement efficace du risque. Ils axent prioritairement leurs réflexions sur la prévention et repoussent l’étude de solutions d’assurance, faute d’avoir suffisamment identifié leur degré d’exposition à la menace cyber ainsi que les conséquences qui en découleraient.

… aux dégâts douloureux

Or, ces conséquences sont nombreuses. Le coût, tout d’abord. Selon une étude publiée par l’Institut Ponemon, l’impact financier moyen d’une cyberattaque a atteint, à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à 2016. Chaque donnée volée représente un coût variable entre 120 et 130 euros, en raison de la perte de revenus et des dommages clients d’une part, de la perte indirecte d’autre part (frais de justice, amende de la Cnil, réparation des dommages clients).
Au-delà, a souligné Verspieren en marge des 26e rencontres de l’AMRAE en février 2018, une cyberattaque conduit inexorablement à une multitude d’autres risques pour les entreprises. Commercial, avec la perte de données stratégiques ou la perturbation des activités, d’image de l’entreprise dont la réputation figure à son capital immatériel. Plus précisément pour le tissu industriel, dans un environnement toujours plus connecté et automatisé, les entreprises sont confrontées à un risque on ne peut plus matériel. Des ordinateurs à la chaîne de production ou aux robots, une entreprise verra le cas échéant l’ensemble de ses outils détruits ou déréglés. Sans compter encore les risques informationnel et organisationnel qui pèsent sur les systèmes d’information ou le fonctionnement même des processus. Alors, comment se protéger ?
« Malgré l’entrée en vigueur le 25 mai 2018 du RGPD, le Règlement général de la protection des données applicable à tous, le contexte réglementaire ne pousse pas à une bonne prise en compte de l’évolution du paysage des risques pour les entreprises. Alors que le risque incendie suscite toute une gamme de garde-fou, de la prévention aux équipements, dans le cadre d’une assurance obligatoire, la souscription d’une police d’assurance spécifique, non obligatoire, n’entre pas dans les mœurs. Le risque, au final, est de voir des PME, des ETI et des grands groupes mis à genou par des pirates », s’alarme Yves Fournier, responsable du pôle risque cyber chez Verspieren. Pourtant, le coût d’une couverture cyber reste accessible et très compétitif en France car l’environnement est concurrentiel. »

L’assurance, mieux qu’un anti-virus

Surtout, une assurance contre le cyber risque présente un double avantage, rappelle le Club des juristes dans son rapport. D’une part, elle impose à l’entreprise une cartographie de ses risques, une analyse de ses vulnérabilités et une évaluation des enjeux (de quoi contribuer à la prise de conscience de l’exposition au cyber-risque et de donner le moyen d’arbitrer rationnellement entre les dépenses de prévention et protection et celles du transfert du risque à l’assurance). D’autre part, seule l’assurance pourra protéger l’entreprise contre les pertes qu’une cyberattaque ou qu’une erreur non intentionnelle de manipulation vont générer. Des pertes potentiellement énormes, jusqu’à mettre en cause la survie de l’entreprise. L’assurance est là pour couvrir l’aléa que la prévention n’a pas suffi à éviter.
Verspieren a mis en place des solutions à destination des entreprises avec intégration en amont d’un travail d’audit sur les facteurs de risque, en partenariat avec CGI Business Consulting. L’assureur fournit conseil et prévention à destination des collaborateurs. Et bien sûr des contrats d’assurance ad hoc. « Si les possibilités de croissance de ce marché sont très fortes, nous devons encore accomplir un long travail de sensibilisation auprès des dirigeants et responsables informatiques avant de leur proposer la meilleure couverture assurantielle. Surtout lorsque l’on s’aperçoit de la faible part du budget IT actuellement consacrée à la sécurité, moins de 5 % pour 31 % des entreprises selon le dernier baromètre annuel du Cesin », mesure Yves Fournier.
Point de vue partagé par Gras Savoye Willis Towers Watson. À l’occasion de la récente publication d’une enquête réalisée par The Economist Intelligence Unit (EIU) avec le concours du courtier en matière de cyber-risques Guillaume Deschamps, directeur des Lignes Financières (Finex) chez Gras Savoye Willis Towers Watson en France, il fut révélé que « les entreprises ont besoin d’une gestion du risque beaucoup plus intégrée qu’elle ne l’est aujourd’hui. S’il est vrai que la technologie continuera à jouer un rôle crucial dans la défense des entreprises, n’oublions pas que plus de la moitié des intrusions sont dues à de mauvais réflexes des collaborateurs et au manque de compétences dans les équipes en charge de la protection cyber. C’est pourquoi il faut que les entreprises investissent dans la sensibilisation de leur capital humain et placent la souscription de contrats de cyberassurances à l’ordre du jour de leur conseil d’administration. »
De son côté, le Club des juristes a émis dix préconisations pour mieux couvrir ce risque. Parmi elles, certaines concernent les assureurs et les gestionnaires de risque, invités à
« accélérer le développement d’une culture du cyber-risque » et « expliquer clairement les contenus des couvertures cyber, faciliter la comparaison des offres d’assurance », ou encore
« renforcer la relation de confiance entre assureurs et assurés dans la gestion des contrats cyber ». D’autres préconisations s’adressent aux assureurs, réassureurs, à l’Anssi et à la Cnil : « développer un cadre de sécurité numérique pour les TPE/PME, mutualiser les données résultant d’incidents cyber, piloter les expositions et les cumuls de risques des assureurs et réassureurs. »
D’autres propositions s’adressent aux instances européennes ou aux pouvoirs publics français : « définir un ensemble de normes techniques pour faciliter l’évaluation du degré de sécurité cyber des assurés, établir les conditions d’une concurrence équitable entre les cyberassureurs, mettre en place une veille réglementaire et un suivi de l’évolution des marchés et, enfin, orienter l’investissement vers l’émergence d’une filière d’excellence en cyber-technologie ».

Pierre-Jean Lepagnot

Répondre

Saisissez votre commentaire
Saisissez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.