Cet article appartient au dossier : ENASS Papers 9.

Informatique

Cyber-risques & cyber- assurances

Virus, terrorisme informatique ; erreur humaine… les cyber-risques se multiplient. Peu à peu les entreprises prennent conscience des dangers encourus. Les assureurs anglo-saxons se sont intéressés les premiers à ce marché en développement.

cyber risques

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°336

ENASS Papers 9

De fin février à début mars 2014, le site d’enchères e-Bay fait l’objet d’une cyber-attaque : 145 millions d’utilisateurs sont ainsi potentiellement exposés au vol de leurs données personnelles. La cybercriminalité et les questions relatives à la sécurité des données et aux atteintes à la réputation sont désormais clairement d’actualité. Elle fait partie du spectre des cyber-risques ou ensemble des événements à caractère immatériel qui peuvent affecter un système d’information (SI).

Dans une définition plus large, les cyber-risques sont les conséquences d’une atteinte aux données, sans atteinte au système d’information et/ou les conséquences d’une atteinte au système d’information. En cela, ils se distinguent du « risque informatique » que connaissent et garantissent les assureurs depuis les années 1980, essentiellement tournés vers les attentats par usage de virus et de « bombes logiques ». Depuis lors, l’expansion de la numérisation puis de la digitalisation a engendré de nouveaux risques de continuité d’activité, de sécurité des données, d’organisation (de la prévention, notamment) et de réputation. Pour les grandes entreprises, selon les enquêtes des courtiers, les cyber-risques figurent parmi les principales menaces. La question ne serait plus de savoir « si » le risque se réalisera, mais « quand » ; 90 % des entreprises américaines auraient fait l’objet d’un piratage au cours des douze derniers mois. Il n’est donc pas surprenant qu’après l’intervention des assureurs anglo-saxons sur ce marché en expansion, tous les assureurs du marché français tendent à adopter une stratégie de spécialisation dans le cyber-risque de leurs produits et de leur souscription.

Le risque « cyber »

Les virus

Les risques sont connus, ou au moins soupçonnés depuis longtemps : l’utilisation de virus en tout genre n’est pas récente, mais l’apparition des réseaux connectés, puis celle en 1982 du « Web » Internet et des liens hypertextes (HTML) favorisent la naissance des virus et des méthodes ayant pour but de nuire ou de s’infiltrer dans les réseaux. En 1989, les Pays-Bas et la France subissent l’attaque des trois virus « Datacrime ». En 1999, la bombe logique « Tchernobyl » peut rendre à peu près inutilisable l’ordinateur attaqué, préludant dans les années 2000 au développement de nombreux programmes malveillants et autres virus.

Les cyberincidents

Selon le Livre blanc du Courtier AON (septembre 2013), le « cyberincident » est caractérisé par six « I » :

  • invisible, car la révélation de l’incident est tardive, ce qui rend le contrôle de ses conséquences difficile ;
  • intensif, incompréhensible, c’est-à-dire que sa détection et sa mesure sont le fait des seuls spécialistes ;
  • international, dans son origine et de ses conséquences : le risque s’applique à un réseau mondial interconnecté (World Wide Web) ;
  • incertain, ce qui le rend assurable, même si l’aléa porte moins sur le « si » (if) que sur le « quand » (when) ;
  • intentionnel : l’accident est bien moins probable que l’acte criminel, malveillant, dolosif et de vol.

Il en résulte trois catégories de cause de sinistre : la défaillance technique (panne), l’erreur humaine (négligence interne à l’entreprise) et notamment la mauvaise gestion ou la mauvaise sécurisation de l’infrastructure du SI, l’acte malveillant ou cybercriminalité (destruction, usurpation d’identité, piratage de données).

La cybercriminalité

Selon l’ONU, la cybercriminalité recouvre tout comportement illégal, faisant intervenir des opérateurs électroniques qui visent la sécurité des systèmes informatiques des données qu’ils traitent [1]. Dans un article du 17 décembre 2013, AXA le définit comme « toutes les infractions spécifiques aux technologies de l’information et de la communication, sous forme de vols d’informations confidentielles, d’infraction dans les systèmes, de rançons ».

Les cybercriminels sont motivés par un but lucratif, revendre les données volées à un concurrent, mais aussi par l’espionnage, la vengeance, la concurrence ou le soutien à une cause. Leur activité est portée par l’opportunité : le rapport gain/risques est bien meilleur que celui des délits classiques. Le forfait est commis à distance et le criminel peut aisément cacher son identité et échapper ainsi aux poursuites. Enfin, le cybercriminel rationalise son geste : son attaque est virtuelle, n’expose pas la vie humaine, ce qui lui permet d’affirmer que ce délit est « moins grave » que les délits classiques (cf. les campagnes laborieuses pour expliquer que la copie « pirate » d’un DVD est un vol comme un autre).

Les victimes potentielles sont diverses. Les 218 OIV (opérateurs d’importance vitale) français figurent sur une liste établie par l’Agence nationale de sécurité des systèmes informatiques (ANSSI) le 21 janvier 2014. Leur cyber-protection est une nécessité, ce qui explique que la liste n’est pas publique. On sait cependant qu’ils appartiennent à douze secteurs : activité civile et militaire de l’État, justice, espace et recherche, santé, gestion de l’eau et alimentation, énergie, communication, électronique, audiovisuel et information, transport et finances.

En réalité, il y a des OIV dans chaque secteur de l’économie française : 60 % sont des acteurs privés et 40 % des acteurs publics. Ils sont notamment obligés de déclarer les cyberattaques dont ils font l’objet. Ce dispositif est complété par les dispositions du Code de la défense sur la « protection des installations d’importance vitale » dont le mauvais fonctionnement pourrait présenter un danger vital pour la population.

Les PME [2] sont des proies faciles, car peu protégées. La CNIL (18 février 2014) souligne que « seules 14 % des entreprises de moins de 5 000 personnes disposent d’un Centre opérationnel de sécurité ». De façon courante, les PME considèrent qu’elles ne font pas partie des entreprises ciblées par les hackers ou les attaques de concurrents. Or, il est difficile à une PME de rebondir après un cyber-sinistre.

Cela étant, les assureurs et les courtiers établissent des « classements » des secteurs les plus touchés, donc les plus exposés, sites Internet marchands, services en ligne, traitement des paiements, transport et logistique, industrie pharmaceutique, soins de santé et services aux entreprises. En réalité, seul un artisan sans site Internet et tenant sa comptabilité sur un grand livre manuel peut légitimement se sentir à l’abri. Sans surprise, les études américaines (Verizon, 2011) notent que les cibles principales sont les activités « d’hospitality », de vente de détail, les services financiers et les activités publiques (« Government »).

Les évolutions récentes du risque font qu’il est encore considéré comme émergent. La progression des technologies est un facteur d’augmentation et d’aggravation du risque. L’accès à Internet est désormais général dans les entreprises ainsi que l’Internet mobile et l’accès aux réseaux à haut débit (ADSL, Wifi, Bluetooth). La navigation est sans cesse plus rapide et plus fluide (4 G). Les technologies du Web 2.0 renouvellent les modes d’utilisation des services Internet (blogs, réseaux sociaux). Les capacités et performances des postes de travail ne cessent de s’améliorer. Le « Big Data » est né de l’explosion du nombre de données traitées et utilisées par chaque entreprise. Certains soulignent que le volume d’informations et de data stockées augmente de 62 % par an, ce qui fait croître le risque. Outre le volume, la « vélocité » importe : pour être pertinentes et utiles, les données doivent être traitées très rapidement. Mais ces données sont aussi variées (structurées et non structurées) que les sources (images, messages, enregistrement de GPS) sont diverses.

Les moyens d’utiliser ces données se sont eux-mêmes multipliés. Le cloud computing est la fourniture de ressources informatiques comme « services » : IAAS, infrastructure de stockage dans un espace virtuel, PAAS, plate-forme pour développer, tester et déployer des applications particulières ; SAAS, logiciel permettant la mise à disposition d’une application propre à l’entreprise. Selon un article publié sur le web par AXA Entreprise, 62 % des entreprises utilisent le cloud pour le stockage de leurs données.

Le « Bring Your Own Device » (BYOD), utilisation d’appareils personnels dans la sphère professionnelle, pose de nouveaux problèmes sociaux et juridiques, mais aussi de sécurité informatique et de gestion des risques. Orange Business Service [3] note que « 25 % des utilisateurs stockent des documents professionnels sur leurs équipements mobiles » et que « 39 % des entreprises ont déjà connu des failles de sécurité, en raison d’utilisation d’appareils personnels non autorisés ». Et peu de personnes ont connaissance des risques : 89 % des utilisateurs ignorent qu’une application peut transmettre des informations à leur insu. Les actes cybercriminels se développent sur les smartphones qui remplacent les « institutionnels » Blackberry.

Les réseaux sociaux se sont rapidement développés au cours des dix dernières années : Facebook compterait 1,25 milliard d’inscrits (Challenges du 3 février 2014). Les entreprises ont créé leur propre réseau pour favoriser la communication entre collaborateurs : les assureurs alertent leurs clients sur l’augmentation des risques de diffamation, de violation des données à caractère personnel et de droits de propriété intellectuelle.

Il faut donc prendre en compte les futurs usages de ces technologies, sachant qu’ils ne sont pas créés avec les mêmes exigences de sécurité que les ordinateurs et les systèmes professionnels d’information : l’intrusion par des objets connectés dans le système d’information en est donc d’autant plus facile.

L’augmentation de la cybercriminalité

Elle résulte d’abord de la multiplication des méthodes et outils du cyber-fraudeur. L’étude du Kaspersky Lab (2014) montre que 66 % des cyberattaques résultaient de virus et spywares, 61 % de spam, 36 % de phishing, 24 % de hacking (intrusion dans le réseau), 21 % de vols d’outils mobiles (smartphones, tablettes), 19 % d’attaques Dos et DDos et 17 % de vols de matériel informatique (portables).

Les moyens sont très divers. Les malwares sont des programmes malveillants. Ce sont d’abord des virus (petits segments de code exécutable greffés à un programme) qui contaminent les fichiers, les programmes, le contenu du secteur de démarrage du disque dur, les commandes d’une application : il ralentit l’ordinateur, en prend le contrôle à distance, conduit à perdre ou à détourner des données et peut aller jusqu’à la destruction du matériel.

Les « vers » (worms) sont des programmes autonomes qui se reproduisent d’un ordinateur à l’autre, en utilisant seulement les capacités et les faiblesses d’un réseau. Leurs effets sont la surcharge de l’ordinateur, le ralentissement de la connexion Internet du réseau, la modification du comportement normal de l’ordinateur. L’objectif principal des virus est de se dupliquer.

Le « cheval de Troie » est communément réalisé pour prendre le contrôle de l’ordinateur infecté à distance, à l’insu de l’utilisateur, afin de récupérer les mots de passe et utiliser l’ordinateur comme serveur des données piratées, en engageant la responsabilité de l’utilisateur « victime ».

Les spywares et adwares sont des logiciels introduits dans un système pour collecter des informations à l’insu de l’utilisateur : divulgation d’informations personnelles ; apparition de fenêtres publicitaires (pop-up), ralentissement de l’ordinateur. L’adware (de l’anglais « advertising » : publicité) fait apparaître des bandeaux publicitaires et des pop-up. Il est considéré comme relativement inoffensif, mais ralentit l’ordinateur.

Les spams sont des mails non souhaités qui emplissent les boîtes mails. Ils sont le plus souvent inoffensifs, mais ils renferment fréquemment des virus ou des spywares.

Le phishing : le but est de voler l’identité d’utilisateurs telle que données bancaires, mot de passe, identité. Il peut aussi consister à se faire passer pour une entreprise légitime, afin de rediriger l’utilisateur vers un site contrefait. Il peut s’agir de poser un crimeware, logiciel malveillant permettant de rediriger l’utilisateur vers un site contrefait. Selon le Phishing Activity Trend Report (3e trim. 2013), la France était (en août 2019) le deuxième pays (après les États-Unis) à avoir le plus d’attaques « d’hameçonnage ».

Les attaques Dos et DDos (déni de services et déni de services distribués) ont toutes pour but la mise hors ligne d’un serveur, le blocage de l’accès à un serveur mail, l’impossibilité de distribution et généralement l’indisponibilité des services et ressources d’une organisation, soit par saturation des serveurs, soit par exploitation d’une faille du système le rendant inutilisable. Il s’agit là de mettre à mal la réputation des sociétés et leur fonctionnement.

Le hacking consiste à « s’introduire frauduleusement dans un système ou un réseau informatique » (Larousse). Ses objectifs sont surtout politiques. Le plus célèbre est l’attaque du Gouvernement israélien contre le système de production des usines nucléaires iraniennes. Pour certains, le hacking conduit le cyber vers des actions terroristes.

Le terrorisme informatique a pour but, comme toutes les actions terroristes, de nuire à l’ordre public et d’entraîner une désorganisation générale. Le ver informatique Stuxnet, dédié aux ordinateurs de type robot ou automate industriel, vise directement les équipements informatiques des centrales énergétiques.

Le Nouvel Observateur (octobre 2010) note que le chantage à la paralysie ou à la destruction de centrales est possible pour un terroriste, afin d’imposer ses exigences (libération de prisonniers par exemple). Un véritable « terrorisme informatique » pourrait ainsi émerger.

La nécessité incontournable du transfert de risques

La prise de conscience par les acteurs économiques des conséquences d’une cyberattaque

Les impacts directs concernent la continuité de l’activité de l’entreprise qui peut enregistrer un retard des opérations, voire un arrêt complet. Les attaques peuvent rendre indisponible le réseau ou les données, provoquant des pertes d’exploitation et un « déni de service » (Dos).

La prise de contrôle de l’informatique permet de pratiquer l’extorsion en exigeant une rançon en échange de la remise en état de service. Les pertes ou dommages aux biens numériques (données) peuvent produire un coût de restauration élevé. La violation des données confidentielles des salariés ou des clients peut menacer la réputation de l’entreprise et générer des contentieux coûteux. La mise à mal de la sécurité, de la fiabilité et de la qualité du système informatique peut affecter la comptabilité, voire les décisions stratégiques. Des dommages juridiques (violation de la « conformité ») peuvent résulter de la diffusion des données confidentielles.

Les dommages indirects tiennent essentiellement à l’image et à la réputation de l’entreprise. Toutes les entreprises ne sont pas égales, face à l’e-réputation : si toute l’activité est concentrée sur un seul site Internet, le risque de détérioration de la notoriété, en cas de piratage, se trouve aggravé.

Les dommages aux tiers engagent la RC contractuelle et délictuelle de l’entreprise. Il en est ainsi des contentieux avec les partenaires commerciaux (violation d’un accord de confidentialité des clients et fournisseurs, vol et violation de la vie privée, du fait de la perte ou du vol des données). La possibilité nouvelle des « class actions » ouverte en France renforce l’ampleur et le coût de réalisation de ce risque et pèse sur la réputation à terme de l’entreprise. La loi Informatique et Libertés prévoit des sanctions pénales lourdes (cinq ans d’emprisonnement et 300 000 euros d’amende) pour l’entreprise qui n’aurait pas pris les précautions nécessaires contre l’accès des tiers aux données qu’elle gère.

Les cyberattaques sont de plus en plus coûteuses pour les entreprises qui en sont victimes, ceci concerne d’abord le coût de reconstitution des données volées. L’Institut Ponémon [4] affirme que le coût moyen par donnée perdue aux États-Unis atteint 200 dollars en 2014 (contre 188 dollars en 2013) et que le vol de données (juin 2013) coûte en moyenne 2,86 millions d’euros à une entreprise française [5]. Chaque donnée perdue ou volée doit être reconstituée par l’entreprise, avec des frais élevés de reconstitution (obligation légale).

Les coûts liés à la perte d’exploitation sont également en progression. Ceci est particulièrement sensible pour les entreprises qui utilisent Internet pour leurs relations-client. Mais l’indisponibilité du système informatique peut évidemment créer des pertes d’exploitation indépendamment du e-commerce.

Enfin, les coûts résultent aussi des coûts de restauration de la réputation, des frais de notification et des frais liés aux dispositifs de communication mis en place pour gérer la crise (mailings, centre d’appels téléphoniques).

Les entreprises ont mis en œuvre des mesures de gestion des risques et des crises. Il s’agit de connaître, de lister, d’analyser et de classifier les risques cyber et les personnes exposées au risque [6]. La hiérarchisation des risques tient compte des mesures de prévention déjà existantes dans l’entreprise et de l’impact sur son activité, de la réalisation du risque. Ensuite, la cartographie des risques permet d’apprécier la solidité et l’efficacité des mesures prises. De nombreuses mesures existent : sécurisation du système d’information, cryptage, processus ou chartes pour limiter le risque de négligence, tests réguliers, contrôle des sous-traitants, accès des salariés aux données sensibles de l’entreprise, etc.

La gestion de crise est assurée, soit en interne, soit par un partenaire externe, avec une infrastructure appropriée : plan de gestion de crise, cellule de crise, centre d’appels dédiés aux clients, communication préparée, site Internet prenant le relais en cas de défaillance du site principal.

Les mesures internes ne sont cependant pas sans faille. Aon rappelle que « la sécurité absolue n’existera jamais [7]». Ranjan Pal [8] met en avant cinq causes de ces faiblesses : la rapidité d’évolution de la technologie, l’indépendance des utilisateurs d’Internet qui sont libres de choisir leur niveau de protection, le fait de se sentir protégé par les mesures prises par d’autres utilisateurs, la tendance de chacun d’attendre que d’autres aient fait le « premier pas » en matière de sécurité, le fait que les vendeurs de progiciel de sécurité ne savent pas (ou ne veulent pas) dire quel niveau de sécurité est garanti par leur matériel.

La réalisation du risque joue un grand rôle dans la prise de conscience du risque par les entreprises

En 2011, le portail interactif de Play Station Network de Sony (États-Unis) a été piraté et les données personnelles de 100 millions d’utilisateurs ont été compromises. Sony a découvert que son assurance RC ne couvrait pas les risques cyber et la justice a décidé que seule une assurance spécifique à ce type de risque pouvait être mise en jeu.

L’affaire Snowden, du nom de celui qui a dévoilé les réseaux de surveillance de milliers d’ordinateurs par la National Security Agency, a démontré les possibilités de l’espionnage « cyber ».

En décembre 2013, la chaîne de distribution américaine Target a fait l’objet d’un piratage des cartes de crédit de ses clients. Les premiers chiffrages du sinistre montrent l’ampleur de ce piratage : 110 millions de victimes, 15,3 millions de cartes réémises aujourd’hui (coût : 150 millions de dollars), 19 class actions engagées contre Target, 5 millions de dollars de coût de réparation de la faille informatique, 61 millions de dollars d’indemnités au 3e trimestre 2013, un rabais de prix de 10 % à l’ensemble des clients de Target, le bénéfice net de 2013 réduit de 34,28 %, un service de veille Internet mis à disposition des clients (20 dollars par utilisateur), le bénéfice net par action sur trois mois qui a baissé de 41,60 %.

Le renforcement des contraintes réglementaires

Une Directive européenne du 25 novembre 2009, transposée en Droit français par un décret du 30 mars 2012, oblige les entreprises de télécommunications et fournisseurs d’accès Internet à déclarer sous 24 heures, à la CNIL, la survenance d’une attaque cyber entraînant la destruction, la perte, la divulgation ou l’accès non autorisé à des données personnelles. Cette obligation s’applique aussi à toutes les personnes concernées par une telle attaque. La déclaration est obligatoire pour les seules entreprises et pour les personnes physiques, seulement en cas d’usurpation d’identité. La notification est relativement coûteuse pour les entreprises, même si les frais peuvent être couverts dans le cadre d’une assurance cyber alors que les amendes ne le sont évidemment pas. On peut penser que la CNIL n’a guère les moyens de sévir, comme le montre l’amende infligée à Google de 150 000 euros pour la collecte non autorisée de données sur son système Street Wiew. L’amende italienne s’élevait, elle, à 1 million d’euros.

Pour les 218 OIV [9], trois catégories d’obligations leur sont imposées [10]: détection et gestion des risques, notification des incidents, audits systématiques effectués par des prestataires de services qualifiés, afin de vérifier le niveau de sécurité et les règles. La simple « négligence est en principe condamnable (article précité), avec des amendes de 150 000 euros et 750 000 euros pour les personnes morales ».

L’assurabilité des cyberattaques : situation actuelle

Les réponses partielles des assurances « traditionnelles »

L’assurance de dommages aux biens indemnise un préjudice issu de la destruction, de la dégradation ou de la disparition d’un bien. Ainsi, le risque cyber est-il couvert au titre des dommages causés à la disponibilité, l’intégrité et la confidentialité des données.

En cas de dommages matériels, les frais de reconstitution peuvent être pris en charge. La perte d’exploitation prend en charge la perte du chiffre d’affaires et les dépenses supplémentaires.

Mais, seuls les dommages matériels accidentels (non exclus) sont couverts. Les dommages immatériels « non consécutifs » à un dommage matériel ne sont pas pris en charge. Le SI détruit par un incendie est pris en charge, mais les dommages causés par un virus (dommage immatériel) ne le sont pas. Naturellement, des extensions de garantie sont possibles, mais elles sont souvent étroitement « sous-limitées ».

La RC couvre les dommages matériels et immatériels causés aux tiers : la couverture est utilisable dans le cas d’une cyberattaque ou des négligences provoquant la perte de données d’un ou de plusieurs tiers. Elle couvre donc les dommages immatériels consécutifs et non consécutifs. Mais elle suppose la réclamation d’un tiers, suite à la perte ou au vol de données personnelles par exemple. Elle peut même, par extension, couvrir les frais de déclaration et de notification au client qui provoquent la réclamation.

Selon les contrats, il peut y avoir des exclusions « rachetables » sur les faits générateurs de sinistres « virus et terrorisme ». En revanche, la divulgation de données confidentielles et l’accès non autorisé sont toujours exclus. Comme pour les DAB, les diverses garanties RC-Cyber sont souvent soumises à des « sous-limites » dans la garantie RC-G de l’entreprise.
L’assurance fraude et, semble-t-il, l’assurance extorsion, au titre de la prise en otage d’un système d’information malware (avec une demande de rançon pour débarrasser l’outil des virus) peuvent être mises en jeu à l’égard des dommages dus à une cyberattaque réalisée sous une forme de fraude. L’assurance « Dataguard » couvre la perte de données, suite à un dommage immatériel ; elle indemnise les frais de reconstitution, mais pas les frais de notification, de surveillance, de monitoring ou de recherche.

L’Assurance « tous risques électroniques » (ou « informatiques ») couvre surtout les dommages aux matériels et nécessite une couverture supplémentaire pour les frais de reconstitution des données perdues. L’assurance du management de crise couvre notamment les dépenses de communication exposées, afin de réduire au minimum la perte de notoriété.

Le développement en France des cyberassurances

Les premiers intervenants sur le marché français de la cyberassurance ont été les Anglo-Saxons. AIG a lancé un produit dédié aux cyber-risques ; ACE fournit un complément de garantie pour les dommages immatériels et les préjudices occasionnés aux tiers ; XL propose deux contrats exclusivement adaptés aux cyber-risques ; CNA couvre la RC-Cyber (vol, violation, extorsion de données) avec garanties contre les cyberattaques (dommages). BEAZLEY offre une gamme de produits et services d’assurances consacrés aux risques de cybercriminalité [11] et met à disposition une équipe de prestataires pouvant intervenir dans le domaine scientifique, informatique et juridique.

En 2013-2014, deux grands acteurs traditionnels du marché français, Allianz, puis AXA, ont proposé des contrats spécifiques au risque cyber. Pour AXA, le contrat Cyber Sphère est un contrat unique (dommages, RC et fraude informatique), avec une adaptation aux marchés locaux (France, Royaume-Uni, Allemagne) et une protection de l’assuré, suite à une atteinte aux programmes et données, et même en l’absence de dommages matériels. Ces offres sont plutôt réservées aux très grandes entreprises. AXA Entreprise a construit à côté un produit adapté aux PME.

Les réassureurs sont pour la plupart en phase de réflexion sur le risque, soit en tant que souscripteurs de traité qu’en cessions facultatives où ils agiraient en tant qu’assureurs quasi directs.

Les contenus des contrats de cyberassurance disponibles sur le marché comprennent des garanties des coûts liés à une attaque cybercriminelle, soit au titre de la RC (y compris parfois l’e-réputation), soit au titre des dommages (frais de recherche, de reconstitution des données, pertes d’exploitation, rançon, pénalités assurables, frais de notification et communication, fraude et vol, préservation d’image, etc.).

Les contrats prévoient aussi la couverture des conséquences de la fraude (pertes financières, frais de notification).

Par ailleurs, les assureurs présents sur le marché français tendent à proposer une assistance à la gestion de la crise cyber dans l’entreprise, en général, par mise à disposition d’un prestataire externe. Celui-ci peut proposer des audits de vulnérabilité du site d’information ex ante, ou proposer des mesures de restauration pendant la crise, ou un système de gestion de crise. Il peut s’agir aussi d’un système d’assistance et de communication de crise. D’autres assurances évitent de s’impliquer dans la gestion des risques et des sinistres chez les clients. Certains mettent en avant la qualité technique du prestataire de services auquel ils ont recours.

Quant à la souscription elle-même, les assureurs s’efforcent de comprendre les besoins du client et d’apprécier la qualité des mesures de protection prises : c’est le but du « questionnaire » et des réunions préalables avec le client.

Enfin, il faut souligner trois avantages complémentaires des assurances cyber. Elle permet de protéger la capacité des autres assurances de l’entreprise, en créant une capacité spécifique. En cas de sinistre (RC ou dommages) autre que cyber, il reste de la capacité pour couvrir le dommage ou la RC liée à une attaque cyber. Elle couvre une gestion spécifique du sinistre cyber avec un interlocuteur spécialisé et un accompagnement technique, rapide et adapté à la nature même du sinistre. Elle constitue un gage de qualité pour l’entreprise assurée, ce qui rassure ses clients et ses prestataires.

L’avenir de l’assurance des risques cyber

Le marché reste encore limité

Ses limitations tiennent aux caractéristiques du risque lui-même. Le niveau de technicité d’abord : les techniques de cyberattaque auront toujours une longueur d’avance. Les objets connectés sont de plus en plus nombreux et la technologie va toujours plus loin. La cybercriminalité évolue au même rythme et les opportunités d’attaque croissent exponentiellement : le calcul du Sinistre maximum possible fondé sur l’appréciation de ce qui a eu lieu est donc souvent mis en cause.

Les impacts sont plus difficilement quantifiables : la partie matérielle (les SI) est connue, donc aisément assurable, mais les conséquences immatérielles et leur étendue sont difficiles à mesurer. Les coûts du sinistre Target n’ont cessé d’évoluer au cours des mois qui ont suivi le sinistre. Il faut aussi connaître le chiffre d’affaires réalisé en jours, en heures, en minutes sur le site, le temps et la valeur en jour/homme de la remise en fonctionnement du site et de la reconstitution des données perdues. Les coûts de notification et de gestion des clients peuvent être également élevés.

Enfin, ces risques sont, par nature, transfrontaliers et l’assurance doit couvrir l’ensemble du Groupe industriel ou de services, où que se produise le sinistre qui peut concerner plusieurs (ou de nombreux) pays où les réglementations sont diverses.

Les limites de l’assurabilité tiennent aussi aux problématiques assurantielles elles-mêmes. Les actuaires soulignent le manque de vision sur l’historique du risque qui réduit la connaissance de la fréquence et de la gravité du risque. Pour rendre le risque assurable, les entreprises doivent justifier de la performance de leur système de prévention. L’assureur peut donc demander l’emploi de certains outils de sécurisation du système d’information et de gestion des cyber-risques. La qualité de la prévention et l’appréciation de la qualité de celle-ci sont déterminantes de l’assurabilité du risque.

La capacité d’assurance et de réassurance fait l’objet de débats. Elle se situe entre 150 et 350 millions d’euros, selon les interlocuteurs. Or, les clients semblent n’avoir jamais demandé plus de 150 millions d’euros. Cela étant, les sinistres de forte intensité dépassent largement ces montants et ce sont ces sinistres (Sony, Target) qui inquiètent les Risk Managers qui, faute d’une capacité suffisante (selon eux), renoncent à souscrire une assurance cyber qui, pour eux, doit couvrir ces risques de pointe. Certains assureurs se proposent d’intervenir en direct (réassurance facultative) pour couvrir ces risques en dégageant les capacités nécessaires. Il est certain pour beaucoup que les réassureurs prendront une part croissante dans le marché de la cyberassurance.

L’asymétrie d’information est un sujet traditionnel, mais particulièrement important dans ce cas. Beaucoup soulignent que les responsables du système d’information ne sont pas toujours enclins à participer à la souscription d’assurances cyber dont l’achat est confié à la Direction des achats et au Risk Manager. Or, leur rôle est déterminant dans la connaissance des failles potentielles du système d’information qu’il leur est parfois difficile de reconnaître. Par ailleurs, ils ne souhaitent pas communiquer des données confidentielles à des tiers extérieurs ou nuire à l’image de leur entreprise.

Enfin, les assureurs craignent traditionnellement l’anti-sélection particulièrement pertinente dans ce type de risque, généralement tarifé au coût moyen, avec des différenciations relativement faibles. On est, pour l’instant, assez loin de pouvoir établir des primes actuariellement exactes.

Les limites rencontrées lors de la souscription sont diverses. La question des coûts de prime est évidemment centrale. Les risques sont nombreux, divers, mal connus et les sinistres maximaux peuvent être très élevés. Les taux de prime sont donc relativement élevés, même si le coût global ne dépasse pas 3 à 5 % du budget de sécurité IT d’une PME. Il est évidemment plus élevé pour une entreprise de vente en ligne, disposant de nombreuses filiales à l’étranger. Il est possible que le développement de la concurrence sur ce marché fasse baisser les taux de prime.

La question des « doublons » d’assurance se pose, dès lors que les Assurances Cyber se superposent aux garanties déjà existantes dans les assurances traditionnelles, ce qui écarte l’idée de souscrire une assurance spécifique. Les assurances traditionnelles peuvent couvrir l’impact des divers risques cyber, sauf l’obligation de notifier aux clients les pertes de données et seules quelques entreprises sont soumises à cette obligation. Les entreprises, si elles sont bien garanties au titre de leurs polices RC et Dommages, peuvent avoir l’impression de payer deux fois pour la même couverture. Les assureurs s’efforcent de répondre à cette critique avec des montages, en utilisant des polices « cyber » en excédent des contrats traditionnels et surtout, en anticipant une possible exclusion de garanties liées aux dommages cyber, courante dans les polices traditionnelles. En outre, comme aux États-Unis, depuis plusieurs années, les assureurs tendent à exclure les garanties risques cyber des polices traditionnelles et permettent ainsi de développer des produits entièrement dédiés.

Les garanties cyber restent encore limitées. Le cloud computing en particulier, est exclu, car la question essentielle reste de déterminer quelle est l’entreprise dont la RC sera engagée : le propriétaire des données ou le gardien de celles-ci. En cas de pertes de données, c’est l’entreprise propriétaire qui est responsable et fait face au sinistre de réputation qui en résulte.

Le fait d’utiliser le cloud peut donc entraîner une réduction de couverture. Il en est de même pour la couverture des évolutions technologiques récentes, le BYOD et les objets connectés étant exclus de la police Cyber. Si des extensions devaient être mises sur le marché, elles auraient naturellement des effets sur le niveau de la tarification.

De même, les polices Cyber excluent souvent les pannes informatiques, erreurs humaines ou interruptions de prestations d’électricité. Elles peuvent être couvertes par des extensions, mais celles-ci sont coûteuses.

La cyber-extorsion peut causer des frais importants, soit du fait de la « rançon » exigée par le criminel, soit du fait des efforts faits sur une courte période par l’entreprise spécialisée en cryptologie, pour contrer le hacker. L’intervention peut durer d’une semaine à six mois, avec des coûts de 1 000 à 3 000 euros par jour/homme. L’arrêt de l’entreprise génère des pertes d’exploitation et une dégradation d’image. Le calcul économique consiste à rapprocher le prix de la rançon des coûts de décryptage et d’interruption et de choisir la solution en fonction de ces coûts. Les polices Cyber devront dans le futur tenir compte de ces caractéristiques, en élargissant le spectre de leurs garanties.

Il sera nécessaire pour l’assureur d’apprécier si l’entreprise a atteint le niveau de prévention et de vigilance requis par l’assureur. On peut craindre que les assureurs n’utilisent l’argument « il faut avoir fait tout le nécessaire » pour être couvert. On pourrait imaginer que l’ANSSI [12] intervienne pour fixer les limites que peut et doit demander l’assureur et qu’elle contrôle le respect de ces mesures par les professionnels.

Plus généralement, l’enjeu majeur est de faire en sorte que les entreprises prennent conscience de l’ampleur du risque. Il semble que celle-ci s’effectue assez rapidement depuis deux ans. Une étude de Steria publiée sur Internet montre que « 91 % des entreprises européennes s’estiment capables de faire face à une crise majeure de sécurité », car « moins de 25 % sont dotés de capacités opérationnelles, 24 h/24 h et 7 j/7 j ». STERIA s’interroge donc sur la confiance jugée trop élevée des entreprises, alors que toutes sont susceptibles d’être touchées.

Les perspectives de ce marché sont plutôt favorables

Les polices devront être adaptables aux futures interventions des Pouvoirs Publics. Il s’agit d’abord des réglementations européennes à venir. La proposition de règlement relatif à la protection des données personnelles devrait étendre et renforcer les obligations de la Directive du 25 novembre 2009 (2009/139/CE) transposées en Droit français par décret du 30 mars 2012. Il s’agit de protéger les données personnelles et de renforcer le contrôle de la violation de la vie privée.

Les entreprises devront déclarer la découverte d’une faille de sécurité, dans les 24 heures à la CNIL dont les pouvoirs de sanction seraient renforcés. L’amende pourrait atteindre 2 à 5 % du chiffre d’affaires global de l’entreprise. Le texte devait s’appliquer au 1er janvier 2016, après approbation prévue au début 2014, en laissant un délai de 1 à 2 ans aux entreprises pour s’adapter. La date évoquée aujourd’hui est le 1er janvier 2015, mais la communication sur le sujet est faible. Ce règlement s’appliquera aux entreprises non encore concernées par l’obligation de déclaration : elle devrait accroître l’intérêt pour l’assurance Cyber.

La Directive sur la sécurité des réseaux et de l’information a été adoptée par le Parlement européen en février 2014. Le texte n’a pas encore été adopté par le Conseil européen et elle devra ensuite être transposée en Droit interne. Même si la France a pris les devants dans la loi de programmation militaire, la transposition de la Directive devrait entraîner des aménagements en Droit interne. Les prestataires de services en ligne et les opérateurs d’infrastructures critiques auront l’obligation de détecter et de gérer les risques et de signaler les incidents graves à l’Autorité nationale compétente. Celle-ci décidera ou non de rendre l’incident public et pourra décider de sanctions en cas de non-respect des règles, mais seulement en cas d’agissement international ou de négligence grave.

La Directive Solvabilité 2 prévoit que les Autorités de Contrôle doivent avoir « les moyens, méthodes et pouvoirs appropriés pour évaluer les risques émergents […] susceptibles d’affecter leur solidité financière ». Les assureurs soumis aux règles de solvabilité de la Directive pourraient être amenés à revoir leurs capacités attribuées aux cyber-risques.

Des évolutions sont attendues également en Droit interne, notamment les décrets d’application de la loi de programmation militaire sur la qualification des systèmes de détection d’événements susceptibles de nuire à la sécurité des systèmes d’information demandés aux OIV. Ils définiront sans doute les « incidents » que les OIV seront contraints de déclarer au Premier ministre. Il est probable que ceux-ci seront incités à souscrire des polices d’Assurance Cyber. Pour autant, il est peu probable que cette réglementation conduise à créer une obligation d’assurance : la plupart des acteurs, assureurs comme assurés, y sont en général opposés.

Les facteurs endogènes favorables à la souscription d’Assurances Cyber ne manquent pas, même si le succès commercial semble se faire attendre. La survenance de cyber-sinistres permettra malheureusement aux assureurs et assurés, de mieux connaître le marché, ils conduiront à améliorer les bases de la tarification, à élargir les garanties, à accroître les capacités et à améliorer l’accompagnement des clients (prévention et gestion de crise).

La médiatisation de l’impact des cyber-sinistres fera beaucoup pour faire prendre conscience aux entreprises de leur exposition au risque. Certains n’hésitent pas à attendre la survenance du « Big One » (suspension de la cotation à New York pour cause de piratage informatique, par exemple). Les organisations professionnelles (AMRAE [13] notamment) travaillent activement à faire prendre conscience du risque par leurs adhérents.

Pour l’heure, la maturité du marché paraît encore lointaine. Pour certains, la logique voudrait que toutes les entreprises assurent leurs risques cyber. Pour d’autres, la progression sera lente et par palier. Ceci s’explique par l’instabilité du risque (les hackers inventent chaque jour de nouvelles procédures) et par le fait qu’une sorte de compétition s’établit au sein des entreprises entre ceux – spécialistes informatiques – qui pensent que la technologie peut contrer les cyber-risques et ceux qui privilégient des solutions d’assurance.

Le développement des technologies de l’information est parallèle à celui du cyber-risque : la fréquence des attaques montre que la technologie ne peut pas créer un « risque zéro ».

Le risque est déjà partiellement couvert par les assurances traditionnelles, ce qui nuit à l’émergence d’une « ligne de business » spécifique. Les assurés craignent des doublons, des garanties « gadget », des primes élevées, des capacités insuffisantes pour couvrir des risques catastrophiques. Les assureurs cherchent à connaître toutes les facettes du risque, à générer des tarifications actuariellement satisfaisantes, à lutter contre l’asymétrie d’information et l’anti-sélection. La réglementation tend à mettre en place de facto, un risque cyber que les entreprises devront assurer même sans obligation d’assurance. En tout état de cause, les acteurs du marché, en particulier courtiers et assureurs, travaillent à présenter une offre adaptée aux plus grandes entreprises, aux PME-PMI et aux entreprises à risque élevé (e-commerce). Le marché est très loin de la maturité et les souscriptions devraient progressivement se développer, surtout si de graves « incidents » se produisent dans un avenir proche.

[1] Cité par Myriam Quéméner et Joël Ferry (2007), Cybercriminalité : défi mondial et réponse, Economica.

[2] Moins de 250 salariés – chiffre d’affaires inférieur à 50 millions d’euros.

[3] P.Y. Gouardin. 10 décembre 2012.

[4] Institut menant des recherches indépendantes sur la vie privée, la protection des données et la politique de sécurisation de l’information.

[5] 9e édition de l’étude « Costs of Data Breach ».

[6] Cf. le Livre Blanc d’Aon, septembre 2013.

[7] Ibid.

[8] Cyber Insurance for Cyber Security : A Solution to the Information Asymmetry Problem, University Southern California, 2012.

[9] Appelés « opérateurs d’infrastructure essentielle » dans la proposition de Directive européenne.

[10] Source : article du 15 avril 2014 du Cabinet Deleporte Wentz Avocats.

[11] Thomas Baume, Argus du 1er avril 2012.

[12] Agence nationale de la sécurité des systèmes d’information.

[13] Association pour le management des risques et des assurances de l’entreprise.

 

Sommaire du dossier

ENASS Papers 9

Sur le même sujet