S'assurer contre les cyber-risques

La gestion des cyber-risques n’est pas que l’affaire des grands groupes. Les TPE et PME sont également concernées car la cyber-criminalité explose avec le développement des usages numériques. Les conséquences pour les entreprises peuvent dès lors s’avérer fatales…

Rappelons qu’en 2016, des dizaines de milliers de serveurs MongoDB – un système de gestion de bases de données — ont été piratées en vue d'obtenir une rançon. Des demandes de rançon s’effectuant souvent en Bitcoin pour assurer l’anonymat des transactions. C’est ce qui s’est reproduit en mai 2017 lors de la cyber-attaque Wannacry, où 300 000 PC d’entreprises ont été touchés dans plus de 150 pays. Dans l’ensemble, le nombre de cyber-attaques a explosé ces dernières années, en hausse de 140% entre 2013 et 2016 . Celles-ci sont en outre de plus en plus massives et médiatisées, avec vous l’imaginez des effets potentiellement dévastateurs sur la réputation des entreprises et donc sur leur valeur, au-delà des seules pertes d’exploitation.

La question de souscrire à une cyber-assurance se pose aujourd’hui avec d’autant plus d’acuité qu’un nouveau cadre juridique entre en vigueur. En effet, à compter de mai 2018, le RGPD, le Règlement général sur la protection des données, impose aux entreprises manipulant les données personnelles des tiers, clients ou partenaires, de notifier aux personnes concernées le vol ou l’altération de leurs données, sous peine de sanctions pouvant aller jusqu’à 4% du chiffre d’affaires consolidé annuel.

Pour l’heure, le cyber-risque n’est pas pris au sérieux par les entreprises françaises. Les primes d’assurance se limitaient à 45 M€ en France en 2016 , contre 2,7 Md€ aux États-Unis. En outre, entre 2% et 4% seulement des PME françaises étaient couvertes par une cyber-assurance fin 2015 . Pourtant, les attaques numériques se concentrent sur cette cible qui rassemble plus des trois quarts des victimes de cyber-attaques en France selon Symantec. Le taux d’équipement est en revanche nettement plus important sur le segment des grandes entreprises qui ont une plus forte appréhension des risques numériques. Fin 2016, un peu plus de la moitié des entreprises du CAC 40 avait souscrit à une police d'assurance de ce type.

Ces contrats couvrent en général les conséquences d’une atteinte aux données numériques détenues ou gérées par l’entreprise et d’une atteinte au système informatique, que les causes soient accidentelles ou résultant d’actes de malveillance. Les cyber-assurances proposent ainsi des garanties responsabilité civile et des garanties dommages couvrant par exemple les pertes d’exploitation, l’extorsion de fonds ou encore les frais de reconstitution des données. Ces cyber-assurances comprennent en outre un important volet d’assistance en cas de sinistre, telle l’analyse du système informatique, l’accompagnement sur le plan juridique, la définition de la politique de communication après une attaque, ou encore la mise en place d’une hotline spécifique.

Reste alors aux entreprises à se tourner vers leurs assureurs. Sauf que le marché de la cyber-assurance pour les entreprises compte encore un nombre réduit d’acteurs : à peine une quinzaine d’intervenants (en dehors des courtiers) étaient recensés courant 2017 en France par les experts de Xerfi. Il faut dire que la maîtrise de la sinistralité demeure encore difficile compte tenu du caractère émergent du risque et du manque de données sur l’impact des attaques numériques sur l’activité des entreprises. Enfin, si l’ampleur des cyber-attaques devait s’accroître sensiblement à l’avenir, l’assurance privée ne pourrait pas assumer seule ces risques. Un mécanisme de protection publique, similaire à celui couvrant les risques de terrorisme, pourrait alors s’imposer...

  1-Selon Symantec
  2-D’après les données de Marsh Continental Cyber Risks, publiées par la FFA en 2016
  3-Étude menée conjointement par PwC et l’Ifop en septembre 2015