Cet article appartient au dossier : ENASS Papers 12.

Systèmes d'information

L'assurance est-elle capable de protéger les entreprises contre la cybercriminalité ?

Vols de données, attaques de déni de service, demandes de rançon, utilisation abusive d’un SI, etc. : les cyber-risques peuvent coûter cher à une entreprise. Pour autant, s’assurer n’est pas encore une démarche naturelle pour se couvrir. Pour faire émerger ce marché à fort potentiel, les assureurs doivent faire preuve de pédagogie.

systèmes d'information

L'auteur

  • Thibault Blouin
    • Account Executive - VIE GHANA
      Gras Savoye Willis Tower Watson
    • Master ENASS 2015

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°352

ENASS Papers 12

Face aux doutes souvent exprimés sur les facultés d’innovation et d’adaptation rapide des assureurs, il s’agit d’identifier la capacité de la profession à analyser les risques dits « cyber » et à proposer des solutions en analysant le potentiel d’innovation des produits disponibles sur le marché. Cette analyse doit prendre en compte la capacité d’évolution rapide et constante de l’assurance, afin de devancer l’imagination des « cybercriminels ».

Le développement des systèmes d’information rend les entreprises de plus en plus dépendantes du fonctionnement et de la fiabilité de leur informatique. Il suscite parallèlement l’apparition de multiples menaces dont les entreprises sont encore insuffisamment conscientes. La conversion d’une entreprise au « tout numérique », la « digitalisation généralisée » de la relation client-fournisseur, voire de celle interne à l’entreprise, ne prévoient pas nécessairement une mise en sécurité au niveau de l’intensité des échanges et font apparaître nombre de failles dans les systèmes informatiques. Celles-ci permettent l’intrusion des cybercriminels dont la compétence technique est souvent considérable (comme par exemple les hackers qui ont permis les « Wikileaks »). Le plus inquiétant est la méconnaissance de leur vulnérabilité par les dirigeants des entreprises, quels que soient leur taille et leur secteur d’activité.

Les entreprises d’assurance ont rapidement compris l’intérêt de développer des produits spécifiques de garantie de la cyber-sécurité, bien au-delà des produits traditionnels de couverture des « risques informatiques » développés dans les années 1980. Le potentiel du marché est considérable. Cela étant, peut-on considérer aujourd’hui que les assureurs couvrent efficacement les risques de cybercriminalité auxquels sont exposées les entreprises ?

Les risques de cybercriminalité

Contrairement à ce que peuvent penser la plupart des dirigeants des PME et des ETI, dans les secteurs éloignés de préoccupations de sécurité ou de défense nationale, ce sont bien toutes les entreprises qui sont sous la menace de cyberattaques. Les cybercriminels considèrent que tous les systèmes d’information constituent un actif de grande valeur, susceptible d’être dérobé ou menacé de destruction, voire détruit au profit de concurrents.

Typologie des cyber-risques

On distingue trois types de cyberattaques :

  • les vols de données destinées à être utilisées directement, sont des opérations d’espionnage industriel (savoir-faire, plans, etc..), commercial (fichiers client, conditions de contrats, modalités de paiements) ou corporate (plans stratégiques, projets de plans sociaux, réorganisation, etc..). Ces vols menacent directement le modèle économique de l’entreprise et favorisent la concurrence ;
  • certaines opérations de pénétration dans les systèmes d’information ont pour but l’extorsion de fonds : on appelle « rançongiciels » des logiciels qui menacent l’entreprise de destruction de systèmes d’information et sont désamorcés contre versement d’une véritable « rançon ». Ces agressions peuvent aussi consister en interruption du fonctionnement des systèmes d’information (« déni de service », Denial Of Service ou DOS). Dans la même catégorie se rangent les attaques visant l’image de l’entreprise ou de ses collaborateurs (détournement de site web, diffusion de courriels confidentiels, vol de données personnelles). Notons que ces pratiques peuvent bénéficier de la faveur du public, voire de la protection de la loi, sous le nom de « lancements d’alerte » ;
  • la troisième catégorie regroupe les opérations qui ont pour but d’engager la responsabilité civile de l’entreprise, telles que le vol de données personnelles ou confidentielles concernant des tiers, ou l’instrumentalisation (le détournement d’objet) des capacités informatiques de l’entreprise pour la faire participer, à son insu, à des DOS ou d’autres types d’attaques ou d’escroqueries. On parle parfois de « zombification » des systèmes d’information.

Les entreprises cherchent logiquement à transférer ces cyber-risques à l’assurance, dès lors qu’elles en prennent conscience. Le plus grand nombre des entreprises considèrent qu’elles sont suffisamment couvertes contre les cyberattaques par leurs contrats existants couvrant la responsabilité civile et les dommages aux biens. C’est malheureusement une attitude irresponsable, comme le montre le rejet en 2014 de la demande d’indemnisation de Sony par un tribunal de New York. Le juge a estimé que la police globale contractée par Sony ne couvrait pas le risque de vol par des hackers des données personnelles des utilisateurs du réseau PlayStation [1]. Cette décision risque de faire jurisprudence dans le domaine de la cyberassurance et pourrait inciter nombre d’entreprises à revoir la couverture du risque spécifique de vol de données.

Les contrats d’assurance « cyber » sont, par conséquent, des polices spécifiques, indépendantes des autres garanties de dommages et responsabilité. Elles combinent une garantie de Dommages et de Responsabilité et la fourniture de prestations de gestion de crise (de type « assistance »). Les contrats sont définis comme « une assurance visant à indemniser une entreprise des dommages matériels ou immatériels qu’elle subit ou fait subir à un tiers du fait d’une introduction, suppression, vol ou altération de données sur son système d’information, que ces faits soient volontaires ou non » [2].

Des garanties de responsabilité civile

La responsabilité civile cyber « professionnelle » couvre toutes les conséquences financières (sauf exclusions spécifiques) de la responsabilité que l’entreprise assurée peut encourir, dans le cadre de son activité professionnelle, en raison de dommages immatériels causés aux tiers et résultant :

  • d’une atteinte à son système d’information, suite à un acte de malveillance informatique ou à une erreur humaine ;
  • d’une atteinte aux données personnelles contenues dans le système informatique, suite à un acte de malveillance, une erreur humaine, un vol ou un dommage matériel (informatique).

Le contrat garantit les frais de défense de l’entreprise assurée dans toute procédure liée à un sinistre de responsabilité civile, dans les limites prévues aux conditions générales et particulières.

La garantie des dommages

Elle assure la protection de l’activité de l’entreprise, de son système informatique et des données personnelles contenues dans ses fichiers. Il s’agit de dommages matériels et immatériels, de façon très large. Il en est ainsi d’une éventuelle demande de rançon telle que celle reçue en juin 2014 par Domino’s Pizza : « Si vous ne versez pas la rançon exigée, nous révélerons les données personnelles de vos clients » [3]. Les polices couvrent donc l’indemnisation du paiement de la rançon (« cyber-extorsion de fonds »). L’indemnisation porte sur les frais et honoraires de consultants en sécurité qui déterminent la cause de l’extorsion, vérifient la véracité (faisabilité) de l’objet du chantage et évaluent ses conséquences. Elle couvre aussi le montant de la rançon, c’est-à-dire toute somme d’argent, tout bien ou service qui serait réclamé par le rançonneur, en contrepartie de la non-exécution de la menace [4]. On mesure combien l’entreprise doit être vigilante quant à la définition de la garantie, des limites et des exclusions figurant dans le contrat.

De même, en fonction de son activité, l’entreprise doit prendre en considération l’intérêt d’une garantie de type « perte d’exploitation ». Une entreprise de vente par Internet, par exemple, sera sensibilisée au risque d’une attaque par DOS, l’arrêt du site Internet signifiant l’arrêt complet de l’entreprise (prises de commande et livraisons) et d’importantes pertes financières, prises en charge par la police cyber spécifique des pertes d’exploitation.

La gestion de crise et l’assistance

Il s’agit d’intervenir rapidement, dès que l’entreprise a connaissance d’une attaque à son encontre, car les conséquences de celles-ci peuvent être très rapidement considérables. Il faut donc prendre dès que possible les bonnes mesures : c’est ce que peuvent l’aider à faire les prestations extérieures de gestion de crise.

L’assureur s’engage dans un contrat à couvrir les frais de cinq actions d’urgence : la prestation, la communication, l’action sur les clients, les salariés et les dirigeants (assistance, aide au diagnostic de la situation), l’assistance téléphonique (clients), la reconstitution des données détruites ou perdues. Ces mesures sont palliatives, mais peuvent permettre de couvrir les atteintes à la réputation de l’entreprise, souvent visée par les cybercriminels. Voler les fichiers clients d’Orange a autant pour but de déconsidérer l’entreprise que d’utiliser ces fichiers, sans parler des Wikileaks et de l’effet sur la crédibilité des services de renseignements américains…

L’assurance comme catalyseur de la prise de conscience

Les conditions de la prise de risque par l’assurance contribuent à la prise de conscience de ceux-ci par l’entreprise. L’élaboration d’un contrat d’assurance adapté suppose le tracé d’une cartographie des risques informatiques par l’entreprise assurée et son Risk Manager. Typiquement et sous l’autorité de son directeur général, il incombe à la direction des services informatiques, au responsable de la sécurité des systèmes d’information et au Risk Manager de l’entreprise d’identifier les risques qui peuvent menacer le bon fonctionnement des systèmes d’information et les cibles (clients, salariés, fournisseurs) d’éventuelles actions dolosives sur le système d’information (ou, d’ailleurs, des erreurs commises sans intention). La cartographie est complétée par une évaluation de la probabilité d’occurrence et du coût possible (probable, maximal) de la réalisation du risque. Il est relativement aisé de mesurer la probabilité et le coût d’une attaque de type DOS : c’est le coût en chiffre d’affaires, marges et réputation de la neutralisation des serveurs, pendant la période courte ou moyenne ou maximale, définie dans les hypothèses de la cartographie. Il est évidemment plus difficile d’évaluer le coût du piratage (vol) d’une base de données personnelles.

Au-delà des évaluations financières, forcément contingentes, la cartographie des risques permet de mettre en lumière les failles de sécurité du système informatique, de probabiliser leur découverte et la gravité de l’intrusion et, par conséquent, de chercher les moyens de réparer ces failles et de fermer les portes d’accès de l’intrusion. Le cyber-risque associe largement l’assuré à la mise en œuvre des conditions de son assurabilité.

L’assureur joue un rôle majeur de conseil auprès de l’entreprise, notamment du fait du devoir de conseil des courtiers, qui prend évidemment tout son sens, dès lors que le débat en cas de sinistre Cyber peut porter de façon cruciale sur les « exclusions » de la couverture, comme dans le cas Sony. Mais ces conseils sont conditionnés par la complexité et la technicité du risque. L’assureur (le courtier et ses experts informatiques) doit expliquer et définir les risques encourus (sensibilisation) à la direction générale, au Risk Manager et à la direction juridique. Il doit ensuite obtenir les informations nécessaires auprès de la direction des services d’information (DSI) et des équipes opérationnelles. Cela revient à identifier des failles de sécurité dont la DSI peut s’émouvoir… ou nier l’existence. Les négociations de contrat, même en présence d’une cartographie des risques, peuvent durer plus d’une année, avant la conclusion du contrat d’assurance.

Le travail du courtier et de l’assureur est délicat : non seulement il met en avant les failles de la sécurité informatique, mais il doit aussi obtenir les informations les plus précises possibles sur le contenu et le volume des données. Le fichier client d’Orange est évidemment plus vaste et plus riche que celui d’une petite entreprise de logistique ou de vente sur Internet. L’assureur a un rôle prépondérant dans la prise de conscience de l’entreprise de la valeur de ses informations, de leur niveau de protection et du risque encouru.

Comme souvent, le fait d’avoir été victime (souvent d’un piratage de données ou d’un DOS) conduit à une réaction positive à l’égard de l’assurance. À l’heure actuelle, la couverture des risques Cyber est encore une niche peu exploitée, notamment auprès des PME et ETI, alors même que les évolutions numériques sont extrêmement rapides et que la digitalisation connaît une diffusion évidente. Le marché de l’assurance Cyber est donc en fort développement : encore faut-il que les assureurs développent la prise de conscience des industriels et prestataires de services.

Forces et faiblesses des formulaires de description des risques

Les évaluations de risques constituent la principale difficulté de la conclusion du contrat. Le formulaire de description de risques est utilisé pour apprécier les risques encourus dans toute souscription de garantie industrielle Dommages et Responsabilité civile. Les assureurs portent leur attention sur le secteur d’activité (industrie ou, par exemple, vente sur Internet), les procédures de sécurité, les stratégies de prévention de l’entreprise dans le but de connaître l’appréciation du risque par l’entreprise elle-même et sa « mentalité » à cet égard. Le questionnaire doit donc être de haut niveau technique, complet et surtout révisé chaque année, du fait de l’évolution des technologies, de l’introduction de nouveaux produits ou applications par le client et des mesures de protection nouvelles éventuellement mises en place.

Le questionnaire ne permet cependant pas de donner une vraie sécurité à l’assureur. L’étude de cas d’une entreprise lyonnaise victime d’une attaque [5] est significative : l’entreprise avait répondu « oui » à la question sur la mise en place d’une politique de mise à jour des pare-feux définie dans l’inventaire du système informatique et « non » à la question sur l’accession possible de l’extérieur au réseau de l’entreprise. Or les experts de l’assureur, intervenant après l’introduction d’un virus de type « rançongiciel » qui avait affecté le serveur, ont montré que l’entreprise disposait bien d’un pare-feu, mais que celui-ci n’était pas branché et que le serveur était aisément accessible depuis l’extérieur.

Il est donc probable que, dans la plupart des cas d’entreprise, le niveau de sécurité ne peut être efficacement mesuré sur la base d’un questionnaire. Comme en risque industriel, la « visite de risque » s’impose, c’est-à-dire le recours à une expertise sommaire préalable de la sécurité informatique. Et naturellement, au renouvellement du contrat, le questionnaire devrait être re-souscrit et revérifié. Encore faut-il que l’assuré (et sa DSI) se prête à l’opération et que l’assureur souhaite s’engager. N’est-il pas souvent tentant de plaider la faute ou la négligence de l’assuré, voire de mettre dans le contrat des exclusions qui couvrent une « asymétrie d’information » au détriment de l’assureur, particulièrement opaque (technologie) et lourde de conséquences ?

Le sinistre est toujours difficile à évaluer, non pas sur les matériels (serveur), mais sur les « dommages immatériels » qui résultent du vol et/ou piratage des données, de l’atteinte à la réputation, voire des manquements à l’obligation de déclarer les atteintes à la vie privée pour les clients de l’entreprise victime du hacking. L’expertise de ces dommages et leur évaluation (quel prix donner à la diffusion de données privées à l’heure de Facebook ?) sont très controversées et peuvent donner lieu à des conflits complexes et multiples avec l’assuré, lui-même en butte aux réclamations de ses clients. Ainsi, dans le cas du sinistre Target [6], les estimations du nombre de victimes et leur « valeur d’indemnisation » ont dû être réévaluées plusieurs fois. Initialement, le nombre de victimes a été estimé à 40 millions avant de passer à 110 millions quelques semaines plus tard.

Globalement, le marché français serait en sous-capacité de couverture. Selon une étude du Ponemon Institute [7], le coût moyen (on ne dispose pas de la médiane de la distribution) d’une attaque s’élève à 9,4 millions d'euros. Les capacités déclarées par la filiale en France d’un grand groupe international d’assurance sont de 25 millions d'euros par an.

C’est dire la faiblesse de l’activité prévue sur ce créneau de marché, si ce n’est démontrer que les perspectives de tarification et de marge sont considérées comme modestes. En pratique, il est probable que les assureurs ont établi des plafonds d’exposition et des exclusions telles que les primes soient relativement modestes et acceptables par des assurés encore peu conscients de l’ampleur potentielle des risques. Cela signifie que le marché est encore émergent, car les risques sont mal couverts, pour des primes « commerciales », donc trop faibles, et donc avec des capacités insuffisantes. L’intervention probable des réassureurs devrait permettre à court terme d’élargir le marché ; encore faut-il que les industriels acceptent de considérer la gravité du risque et d’en payer le prix. Dans cette conjoncture, seule la survenance de quelques sinistres de grande ampleur peut permettre, malheureusement, de faire progresser la réflexion. D’autant que, quels que soient les efforts de prévention et de précaution, l’imagination malveillante des hackers semble ne connaître ni frein ni limite et qu’une « rançon » demandée à une victime dépasse le montant de la plupart des butins tirés des vols traditionnels de banque ou de bijouterie.

Conclusion

La cyberassurance est un marché potentiel considérable, mais aujourd’hui encore mal développé : réticence des clients, difficulté de conception des produits, tarification et capacités insuffisantes. L’espoir n’est cependant pas perdu de la voir se développer. L’exemple de la responsabilité civile des mandataires sociaux est significatif : mal accueillie lors de son lancement, il y a vingt-cinq ans, sur le marché français, elle est désormais totalement adoptée par les entreprises, au point de faire partie quasi obligatoirement du package de nomination des nouveaux mandataires sociaux, au même titre que la rémunération et la prévoyance/santé. L’expérience des sinistres par les entreprises a joué un rôle majeur dans l’acceptation du produit.

Pour les cyber-risques, on peut penser que l’adoption d’une réglementation européenne aura un impact significatif sur la demande de souscription et sur les perspectives de mutualisation des risques par les assureurs. De même, la pression des clients des entreprises assurées pourrait avoir son importance : avec le Big Data, la question de la protection des données personnelles, en France notamment, pourrait transformer la cyberassurance en absolue nécessité.

 

[1] Baume T. (2014), « Le tribunal de New York donne raison aux assureurs de Sony », L’Argus de l’Assurance.

[2] « Pourquoi une assurance cyber ? » : http://www.cyber-assurance.org/pourquoi-une-cyber-assurance/

[3] Gallet L. (2014), « Piratage informatique: danger sur la réputation de l'entreprise » : http://lentreprise.lexpress.fr.

[4] Zicry L. (2014), Enjeux et maîtrise des cyber-risques, Editions L’Argus de l’Assurance, coll. « Les essentiels ».

[5] Cyberprotect (2014), « Cyber-assurance, au-delà du questionnaire » : https://www.cyberprotect.fr/cyber-assurance-au-dela-du-questionnaire/.

[6] Korda R. (2014), « Les Etats-Unis, secoués par le piratage géant de données chez Target » : http://www.lefigaro.fr.

[7] Ponemon Institute (2014), 2014 Global Report on the Cost of Cybercrime.

 

Sommaire du dossier

ENASS Papers 12

Sur le même sujet