Risques, cyber risques et solutions de cyber assurance
Dans un univers marqué par la transformation digitale et l’utilisation de plus en plus importante des outils informatiques au sein des entreprises, nos besoins en productivité ont fait apparaître de nouveaux risques : les cyber-risques.
L’évolution des nouvelles technologies n’a jamais été aussi rapide. Ce qui était, il y’a encore 20 ans de la science-fiction est aujourd’hui une réalité. Face à ses évolutions technologiques et à notre manière d’aborder l’activité dans nos entreprisea cybercriminalité.
Tous les jours, l’humanité génère en données autant que ce qu’elle a produit entre sa naissance et 2003. Et on estime que ce chiffre sera multiplié par 20 au cours de la prochaine décennie. Quel que soit leur taille, leur chiffre d’affaires, leur secteur d’activité, les entreprises traitent, collectent et stock des données personnelles et/ou confidentielles. Que ce soit celles de leurs clients, fournisseurs, partenaires ou employés.
Définition d’un cyber-risque
« Tout ce qui touche à l’atteinte, la violation ou la perte de données, ainsi qu’à des intrusions de
réseau ou à la détérioration d’actifs aussi bien matériels qu’immatériels »
Le saviez-vous ?
77 % des attaques numériques ont touché des petites et moyennes entreprises en 2014.
La cybercriminalité
Un exemple : le 2 janvier 2018, une société d’outillage en France s’est retrouvée confrontée à un ransomware. Il s’agit d’un logiciel malveillant qui prend en otage des données numériques de l’entreprise, dans le but de demander une rançon à son propriétaire en échange de leurs restitutions. Dans cette situation, que la société ait payée ou non la demande de rançon, celle-ci a tout de même perdu trois années d’archives.
Si cette affaire se solde uniquement par la perte d’archives, les dommages sont généralement plus conséquents, pouvant dans les cas les plus graves mener à la fermeture de la société. Ce type d’attaque n’épargne personne. Les grandes comme les petites entreprises, qu’il s’agisse du secteur privé ou public, personne n’est épargné par les « cyberattaques ».
En effet, les statistiques parlent d’elles-mêmes. En 2015, 81% des entreprises françaises ont été visées par une cyberattaque. En 2017, selon une étude menée par Les Echos, sur 143 entreprises et ministères français interrogés, 92% ont subi au moins une cyberattaque. Du fait de ces attaques récurrentes, la France se place désormais à la 9ème place des pays les plus visés par la cybercriminalité. Cela étant dit, les PME restent les cibles favorites des pirates informatiques. Ceci peut s’expliquer par le fait qu’il est rare que celles-ci possèdent une protection adéquate en cas d’attaque, il n’est donc pas très compliqué d’insérer des virus dans leurs programmes informatiques. De plus, elles sont ensuite utilisées comme passerelles afin d’atteindre d’autres entreprises avec lesquelles elles possèdent des connections. Ainsi, d’après Cyberprotect, 80% des attaques sur le territoire français ciblent les PME en 2016.
La cybercriminalité, l’affaire de tous.
Parce que 35% des incidents de cyber sécurité sont dus à des collaborateurs soit par erreur, omission ou malveillance. Pour contrer le cyber risque, il est nécessaire pour le chef d’entreprise de former et d’informer ses salariés sur les menaces et les risques mais aussi sur un certain nombre de bonnes pratiques à adopter en entreprise.
Comment attirer la vigilance de vos collaborateurs face aux Cyber-attaques ?
Pour protéger votre entreprise des Cyber-attaques, CRA vous recommande de respecter à minima les 12 points de sécurité informatique conformément aux recommandations de l’Agence Nationale de Sécurité Des Systèmes d’Informations (ANSSI).
Source Guide des Bonnes pratiques de l’informatique par la CGPME en partenariat avec l’ANSSI – Janvier 2017 version 1.1.1
Quelles solutions existe-t-il donc pour les petits entrepreneurs ? Comment faire pour se protéger ? La réponse qui apparait donc comme la plus évidente est de renforcer sa sécurité. Cependant ceci a un coût que les PME ne peuvent pas toujours assumer. Et malgré ce renforcement, lorsque l’on voit les dégâts que ces pirates informatiques sont capables d’infliger à des sociétés d’envergure mondiale (comme par exemple la cyberattaque qu’à subit Equifax, l’agence américaine de crédit, qui leur aura coûté 150 millions de dollars ainsi que la place de leur PDG en juillet dernier), on se dit finalement que personne n’est à l’abri.
Pourquoi choisir un contrat de cyber assurance ?
La réponse est simple : si l’un de vos clients est victime du vol de ses données suite au piratage de votre système informatique il pourra se retourner contre vous.
Normalement, lorsque vous commettez un dommage à autrui votre responsabilité civile est engagée et l’assureur est là pour indemniser la victime.
Dans le cas d’une cyber-attaque, beaucoup de contrats d’assurance entreprise excluent de leurs champs d’application de la garantie Responsabilité civile les dommages liés aux Cyber-risques.
En règle générale cela est spécifié de la sorte dans les contrats d’assurance : «nous excluons les dommages résultant de virus ou d’infections informatiques qui affectent les programmes, progiciels, paramétrages, données et systèmes informatiques ».
Ou encore : « Les dommages résultant, à dire d’expert, de l’absence ou de l’insuffisance manifeste des systèmes : de protection des données contre les infections informatiques, de sécurisation des échanges de données et de paiements, de sécurisation de votre site Internet, ou de leurs dysfonctionnements dus à leur inadaptation. ».
Face à ces risques et aux carences des contrats multirisques professionnels et Responsabilité civile professionnelle, seul un contrat cyber assurance peut vous protéger de manière globale des conséquences d’une cyber-attaque.
Différents acteurs proposent désormais un tout nouveau produit d’assurance, veillant à prendre en charge la totalité des dommages subis lors d’une cyber-attaque par une entreprise. Il s’agit de contrats Cyber sous forme packagée. Il existe cependant certaines conditions d’éligibilité à ce contrat d’assurance, comme par exemple, l’utilisation d’antivirus, les sauvegardes hebdomadaire ou encore le fait de n’avoir été victime d’aucune cyberattaque au cours des 3 dernières années, du fait qu’après une première exposition, le risque d’une nouvelle attaque est quasi-certain.
Structure d’un contrat Cyber
Un contrat Cyber est généralement composé d’un socle de 3 garanties. Gestion de crise, dommages et Responsabilité civile.
La Gestion de crise, visant à endiguer immédiatement et ce sur une période allant souvent jusqu’à 72h peut prendre en charge les frais liés à l’expertise informatique, la restauration des données, rançon, le conseil juridique, le frais de notification réglementaire, les frais de monitoring…etc.
La garantie de dommages au terme de la période de gestion de crise prendra en charge l’éventuelle perte d’exploitation, les sanctions administratives et les frais supplémentaires d’exploitation.
Enfin, en cas de recours des tiers en raison d’une atteinte aux données le volet responsabilité civile prendra le relais à concurrence du plafond de garantie souscrit et indiqué aux conditions particulières.
Marché de l’assurance Cyber en France.
Malgré les risques importants auxquels sont exposés les entreprises, le coût des cyber-attaques pour une structure qui serait impactée et les contrats proposés sur le marché à un tarif extrêmement faible compte tenu du risque, le volume de souscription peine à décoller. Les petites et moyennes entreprises bien qu’étant les plus exposés du fait de leur manque de sensibilisation et de leur capacité d’investissement restreinte en cyber sécurité sont, paradoxalement, les plus difficiles à convaincre quant à la nécessité d’une couverture Cyber pour leur structure. En France, la réglementation relative à la protection des données (RGPD) était sensée propulsée l’assurance cyber dans une autre dimension. Après 1 an de mise en place du RGPD, les résultats semblent décevants pour une grande partie des acteurs du marché de l’assurance. Cependant, l’ampleur des cyber-attaques, tant en volume qu’en intensité, conduit à une augmentation des demandes de souscription. L’assurance cyber deviendra, à mon sens, un passage incontournable pour les entreprises souhaitant pérenniser leur activité et rassurer leur partenaire.
Kevin HITSCH
Associé
HFZ Assurances
CRA-Cyber Risques Assurance