La France, avec 5% des cyberattaques recensées au monde, demeure le pays le plus ciblé au sein de l’Union européenne (UE), les entreprises tricolores victimes d’attaques cyber ayant cumulé 2,5 milliards d’euros de pertes en 2021. Thomas Graiff, Directeur Général et Christophe Haudeguand, Directeur IARD (Incendies Accidents et Risques divers) & Construction, chez le courtier Jutheau Husson décortiquent le cyber risque.
La crise sanitaire et la généralisation du télétravail se sont accompagnées de l’explosion des cyber-attaques. Avec un coût estimé de 10 000 milliards de dollars en 2025, la cybercriminalité représenterait désormais le premier risque professionnel. Les PME sont-elles désormais assurées?
L’année 2020 a été fortement déficitaire pour les assureurs couvrant le cyber risque. En effet, les assureurs ont vécu une explosion des sinistres sur la période. Concernant Monaco, nous avons constaté une réelle discrétion sur ce sujet tout en ayant l’écho d’attaques cyber récurrentes. Paradoxalement, les PME sont peu assurées par rapports aux grands comptes, alors qu’elles concentrent la consommation de sinistres la plus importante: 325%1 de rapport sinistre à primes pour les PME, contre 58% pour les grandes en-treprises (source AMRAE). Les PME, aussi parce que les primes d’assurance cyber sont maintenant significatives, souscrivent avec moins de vigueur au contrat d’assurance cyber. Les grands comptes sont donc majoritairement assurés, individuellement ou par l’intermédiaire d’un programme d’assurance global (international).
Concrètement, que couvre un contrat cyber ?
Le contrat cyber prévoit systématiquement 3 volets. Un premier volet concerne la responsabilité civile (ce volet permet d’indemniser les dommages causés à des tiers) en cas d’atteinte à la sécurité et/ou à la confidentialité des données des tiers. Cette garantie indemnise les frais de défense, les dommages et intérêts… Un second volet est spécifique aux dommages subis par l’assuré : ce volet permet de couvrir les coûts consécutifs à l’incapacité de faire fonctionner l’entreprise à la suite d’une cyber attaque. Il s’agit ici de couvrir les pertes d’exploitation (perte de marge brute) et les frais supplémentaires d’exploitation, (réparation ou remplacement du système informatique). Enfin, un volet assistance permet la prise en charge des honoraires d’experts en sécurité informatique, de conseils juridiques, d’experts en communication de crise et d’experts en récupération de données.
L’assureur envoie-t-il des experts qui vont identifier la menace, évaluer l’ampleur de l’attaque et le volume de données exfiltrées? Des professionnels en communication de crise tentent de limiter les impacts du sinistre sur l’image de l’entreprise ? Dans le cas d’un ransomware, une entreprise peut bénéficier de l’intervention d’experts en négociation qui, en dialoguant avec les hackers, vont essayer d’annuler la rançon ou du moins de la réduire ?
Oui, avec des missions précises. L’expert en sécurité informatique va établir un diagnostic et mesurer la véracité et la gravité des actions du hacker. Est-il « fiable » ? En cas de paiement de la rançon, quelles données seront restituées par ce dernier ? Il établit le degré de récupération possible des données en fonction de la crédibilité de l’attaquant. Le conseil juridique, lui, vérifie la conformité par rapport aux règles RGPD et accompagne le client dans les déclarations nécessaires. L’expert en communication de crise réalise la communication envers les tiers (presse, réseaux sociaux, la préservation de la « e-réputation », le cloisonnement) et il élabore les mesures de protection pour préserver l’image de la société. L’expert en récupération de données met en place des solutions techniques permettant la récupération totale ou partielle des données perdues ou altérées.
Dans un rapport sur le risque cyber, l’Association de Genève s’oppose à l’interdiction du paiement des rançons par les gou-vernements. « Une interdiction pure et simple du paiement de rançons ou de leur remboursement par les ré/assureurs pourrait avoir l’effet inverse en rendant les transactions clandestines et en encourageant les attaquants de rançongiciels à se livrer à de nouvelles formes d’extorsion plus malveillantes », selon l’Association de Genève. Qu’en pensez-vous ?
Le sujet est délicat, payer, c’est en effet alimenter le système… En revanche, en ne payant pas, l’entreprise piratée se prive de tout espoir de récupérer tout ou partie de ses données ou de relancer son activité. En France, Bercy a formulé 18 préconisations afin de lever les freins au développement du marché de l’assurance cyber. Bercy ne s’oppose pas en soi au paiement des rançons pourvu que cela soit dans le cadre de l’assurance cyber avec un encadrement bien défini et un travail important en termes de prévention et de mutualisation du risque.
Quel est le montant de la prime pour un bon niveau de couverture pour une PME ?
La prime dépend en tout premier lieu de la qualité des protections des systèmes d’information, des processus de sécurisation des données et, des processus de sécurisation des actions comptables et financières (il s’agit de vérifier les contrôles concernant par exemple les actions de règlements fournisseurs, les virements…). L’assureur tient compte également du secteur d’activité plus ou moins exposé de l’entreprise ou de l’organisme assuré (Hospital, industrie, etc.), de sa taille et de son engagement à l’international. La composition de la prime étant multifactorielle, il est difficile, voire impossible de définir un montant de prime qui constituerait un benchmark sans une étude préalable reprenant l’ensemble de ces éléments.
Face à la multiplication des ransomwares, les sociétés d’assurances ont enregistré un solde négatif, indemnisant plus de sinistres qu’elles ne collectaient de primes. Elles ont alors restreint les conditions d’accès, augmenté les primes – parfois de plus de 50 % –, et limité la couverture du risque cyber selon les experts. C’est exact ?
En 2020, les assureurs d’assurance Cyber ont en effet durci les conditions de souscription, doublé les taux de prime et réduit les capacités en instaurant des franchises importantes pour les grandes entreprises pour donner suite à l’augmentation du nombre et de l’intensité des sinistres, cela a été rendu nécessaire pour tenter de rétablir l’équilibre financier de cette branche qui connait un ratio sinistres/primes très défavorables aux assureurs (source rapport LUCY/AMRAE).
1.Il s’agit du montant des primes réglées par les assurés par rapport au montant des sinistres réglés par les compagnies d’assurances. Plus le rapport sinistres/primes est élevé, plus la prime augmente.
Propos recueillis par Milena RADOMAN