L’analyse du risque Cyber et les assurances
L’assurance cyber doit rimer avec sécurité de votre système d’information !
Du « prêt à la grosse aventure » chez les Babyloniens à aujourd’hui, l’assurance a permis de faire face aux risques qui présentaient un coût à la fois financier et humain.
Les risques ont de tout temps été de diverses natures, mais l’essor des nouvelles technologies et l’ensemble des innovations engendrées par le progrès a fait naître un risque nouveau, celui lié à la cybersécurité. Les transformations impliquées par l’évolution numérique ont fait peser une part croissante du capital informationnel des entreprises sur les systèmes informatiques, amenant au développement de cyberattaques toujours plus sophistiquées. Pour faire face à ce risque nouveau, les assurances ont dû s’adapter.
Cependant, l’assurance cyber est confrontée à des réticences de la part des assureurs, qui en cas de cyberattaques devraient indemniser un grand nombre de victimes. Tel aura été le cas, par exemple lors de la cyberattaque WannaCry qui avait touché plus de 300 000 ordinateurs dans plus de 150 pays.
Les assurés manquent d’information quant aux sources et causes de ces attaques, ce qui représente un frein à la souscription d’assurance cyber.
Que comprend le risque cyber ?
C’est l’atteinte cyber-malveillante à la disponibilité, l’intégrité ou la traçabilité d’un système informatique. Le risque cyber évolue au rythme des technologies informatiques et électroniques. Cela peut avoir pour conséquence une atteinte à l’image, un sabotage, un vol de données confidentielles (espionnage)…
Des mesures de sécurité peuvent être mises en place pour éviter la réalisation des risques. Mais si cette prévention ne suffit pas à empêcher leur réalisation, les assurances peuvent garantir la prise en charge de certains frais pour reprendre au plus vite les activités.
État des lieux :
La crise sanitaire a été une aubaine pour les cyberattaquants en raison notamment, de l’augmentation du télétravail. Le phishing reste la plus grande source d’attaque (73% selon le baromètre du CESIN 2022), suivi de près par l’exploitation des failles (53% selon le baromètre du CESIN 2022).
Pour l’année 2020, le FBI a recensé 4,2 milliards de dollars (contre 3,5 milliards en 2019) de pertes dues aux attaques informatiques. C’est donc un réel enjeu financier pour toutes les structures. Mais si la mise en place de mesures de sécurité est déjà couteuse, une cyberattaque peut engendrer des pertes considérables pour les victimes. Pour limiter les dégâts financiers, la souscription à une assurance cyber pourrait être une solution.
Quels impacts financiers pour une cyberattaque ?
Des coûts directs et indirects impactent les entreprises à la suite d’une cyberattaque :
Les coûts les plus connus :
- Enquêtes techniques
- Notification d’intrusion
- Mise en conformité règlementaire
- Honoraires d’avocats et frais de justice
- Sécurisation des données clients post-incident
- Relations publiques
- Amélioration des dispositifs de cybersécurité
Les coûts moins visibles :
- Augmentation des primes d’assurance
- Augmentation du coût de la dette
- Impacts liés à la perturbation ou l’interruption des activités
- Érosion du chiffre d’affaires liée à la perte de contrats clients
- Dépréciation de la valeur de la marque
- Perte de propriété intellectuelle
- Perte de confiance accordée par le client
Les conséquences pèsent sur les organismes et les tiers qui en sont dépendants
Avant tout il faut savoir quoi couvrir. Les entreprises doivent procéder à une cartographie des risques. Cette méthode permet d’analyser les vulnérabilités issues de leurs propres actions et de leur environnement (sous-traitants, clients, etc.).
Quelles sont les garanties apportées par les assurances aujourd’hui ?
Les contrats de dommage aux biens.
La réalisation d’une attaque peut engendrer des conséquences dommageables sur le matériel informatique. L’assurance peut prendre en charge le remplacement du matériel et des logiciels touchés. Elle peut également couvrir les pertes de données : reconstitution des données perdues sur la base de la dernière sauvegarde. Or, les polices peuvent exclure une telle reconstitution si aucune mesure de sauvegarde ne permet de retrouver les données.
Il existe également des frais annexes générés par le sinistre qui sont spécifiques aux attaques cyber et qui sont pris en charge par ces polices d’assurance :
- Les frais d’identification de l’atteinte malveillante
- Les frais de décontamination
- Les frais de prestations réalisées par des sociétés de service de gestion de crise
- Les contrats de responsabilité
Ils garantissent les conséquences pécuniaires liées aux frais de défense du responsable envers sa société ou envers les tiers en raison du non-respect des obligations ou de toute faute de gestion.
Ainsi,voici ce qui peut être couvert :
- La transmission accidentelle d’un virus à un tiers
- L’atteinte aux données personnelles et données confidentielles
- Les responsabilités contractuelles
- Les frais de défense
Puis, des garanties annexes liées aux incidents cyber :
- Les frais de communication au public
- Les frais de notification des victimes d’incidents
- Les frais d’enquêtes administratives de la CNIL ou l’ANSSI
Les contrats de fraude
Ils concernent les actes frauduleux comme le détournement de fonds, l’escroquerie, le faux ou l’usage de faux, la contrefaçon et le vol. Ainsi, les faux ordres de virement (fraude au président) qui sont facilités par un logiciel malveillant dans le système informatique, restent couverts par ce type de contrat.
En conséquence, les polices traditionnelles peuvent toujours intervenir en plus des assurances spécifiques.
Les contrats d’assurance cyber
Les contrats traditionnels vus précédemment peuvent être dénommés « silent cyber » ou « silent cover » dans la mesure où les polices couvrent des sinistres informatiques alors qu’au départ ils n’étaient pas garantis. C’est en raison de leur définition large ou du fait qu’il n’y ai pas de clause d’exclusion.
Les règlements européens (RGPD), directives européennes (NIS), ou encore les lois nationales (loi informatiques et libertés, loi de programmation militaire), introduisent des obligations de cybersécurité pour les organismes et sanctionnent la non-exécution ou le non-respect de ceux-ci. Ainsi, les contrats d’assurance cyber à part entière viennent garantir de nouveaux services :
- Garanties de gestion de crise ou d’incident
- Garanties de responsabilité (défense, dommages causés aux tiers…)
- Garanties des frais engendrés par l’attaque (réparation du système infecté)
- Garanties des pertes d’exploitation
- Garanties de frais de violation des données personnelles
- Garanties des enquêtes administratives
- Garanties des frais de notification
- Garanties des frais de défense
- Garanties de frais d’expertise (analyse forensique)
En revanche, est ce que les assurances couvrent un manquement volontaire de l’assuré dans la prévention des risques informatiques ? Ou encore, est-ce qu’elle vient couvrir les amendes administratives engendrées par le non-respect d’une obligation (RGPD) ?
Les exclusions de garanties
L’assurance va couvrir un défaut d’enclenchement d’un système d’alarme anti-vol/anti-incendie. Mais elle ne fonctionne pas si le responsable n’a installé aucun dispositif. Ce sont des obligations de sécurité qui leur incombent. La même logique est appliquée s’agissant des mesures de cybersécurité.
L’enjeu pour les assureurs est d’adapter les clauses d’exclusions, les États-Unis ont rendu une décision en faveur du Laboratoire pharmaceutique MSP (Merck Sharp & Dohm). Le laboratoire avait été frappé par le rançongiciel NotPetya en 2017, le groupe avait alors été victime d’un incident estimé à plus d’1,4 milliards de dollars. L’assureur, Ace American faisait valoir une clause d’exclusion, celle-ci a été jugée comme inapplicable en l’espèce, par le sens ordinaire du « libellé de l’exclusion ». Cette décision va sans doute amener les assureurs français à faire preuve d’adaptabilité et à motiver les victimes à engager des poursuites contre les assureurs.
Deux questions se posent encore pour les sanctions administratives et la couverture des rançons.
Les sanctions administratives
Une sanction pénale doit rester dissuasive, elle ne doit pas être prise en charge par les assureurs. C’est contraire à l’ordre public et au principe de personnalité des peines.
Cependant, si les assurances ne doivent pas aller à l’encontre des sanctions pénales, la question sur la nature juridique quasi pénale des sanctions administratives se pose. Ces dernières peuvent être assurées même si juridiquement cela reste discutable. En effet, les amendes pénales sont prononcées par les juridictions pénales et ne sont pas assurables. En revanche, les amendes administratives prononcées par les autorités administratives sont prises en charge par certaines assurances. Le rôle punitif de la sanction est donc remis en cause. Mais, la faute intentionnelle ou dolosive de l’assuré constitue une cause légale d’exclusion de responsabilité des assurances (art. L 113-1 du code des assurances), puisque l’aléa disparait.
Les ransomwares
Les acteurs malveillants du monde cyber s’introduisent dans les systèmes informatiques afin de chiffrer les données et ne les libèrent qu’en échange d’une rançon. En principe, hors champ informatique, les autorités refusent le paiement de la rançon car cela inciterait au kidnapping et encouragerait les ravisseurs à enlever des personnes. C’est la même chose pour les ransomware : payer contribue à faire perdurer la pratique ou, au contraire à là développer. Cependant, il existe sur le marché, des polices d’assurance qui couvrent l’argent de la rançon.
Finalement, la souscription d’une assurance cyber peut s’avérer coûteuse. Mais il ne faut pas oublier qu’en cas d’attaque cela peut causer une rupture d’activité voire un arrêt total. Les coûts pour s’en remettre peuvent ne pas être supportés, et la perte des données ainsi que l’atteinte à la réputation sont de grands freins à la reprise normale d’une activité.
Cependant, notons tout de même une réelle prise de conscience : en 2021, 7 entreprises sur 10 possédaient une cyber-assurance.
Les cyberattaques sont de plus en plus récurrentes et n’épargnent aucun secteur d’activité. Les risques sont mal connus et sont en perpétuelle mutation. C’est pourquoi l’assurance est un instrument pour la résilience cyber à ne pas négliger, même si elle ne suffit pas à elle seule.
Veillez donc à compléter votre arsenal en matière de cybersécurité : penser à l’assurance n’est pas une mauvaise idée. Mais pensez aussi à vous mettre en conformité pour pouvoir faire marcher vos garanties !