Cyber-risques & cyber- assurances

De fin f&eacute;vrier &agrave; d&eacute;but mars 2014, le site d&rsquo;ench&egrave;res e-Bay fait l&rsquo;objet d&rsquo;une cyber-attaque&thinsp;: 145 millions d&rsquo;utilisateurs sont ainsi potentiellement expos&eacute;s au vol de leurs donn&eacute;es personnelles. La cybercriminalit&eacute; et les questions relatives &agrave; la s&eacute;curit&eacute; des donn&eacute;es et aux atteintes &agrave; la r&eacute;putation sont d&eacute;sormais clairement d&rsquo;actualit&eacute;. Elle fait partie du spectre des cyber-risques ou ensemble des &eacute;v&eacute;nements &agrave; caract&egrave;re immat&eacute;riel qui peuvent affecter un syst&egrave;me d&rsquo;information (SI). Dans une d&eacute;finition plus large, les cyber-risques sont les cons&eacute;quences d&rsquo;une atteinte aux donn&eacute;es, sans atteinte au syst&egrave;me d&rsquo;information et/ou les cons&eacute;quences d&rsquo;une atteinte au syst&egrave;me d&rsquo;information. En cela, ils se distinguent du &laquo; risque informatique &raquo; que connaissent et garantissent les assureurs depuis les ann&eacute;es 1980, essentiellement tourn&eacute;s vers les attentats par usage de virus et de &laquo; bombes logiques &raquo;. Depuis lors, l&rsquo;expansion de la num&eacute;risation puis de la digitalisation a engendr&eacute; de nouveaux risques de continuit&eacute; d&rsquo;activit&eacute;, de s&eacute;curit&eacute; des donn&eacute;es, d&rsquo;organisation (de la pr&eacute;vention, notamment) et de r&eacute;putation. Pour les grandes entreprises, selon les enqu&ecirc;tes des courtiers, les cyber-risques figurent parmi les principales menaces. La question ne serait plus de savoir &laquo; si &raquo; le risque se r&eacute;alisera, mais &laquo; quand &raquo;&thinsp;; 90 % des entreprises am&eacute;ricaines auraient fait l&rsquo;objet d&rsquo;un piratage au cours des douze derniers mois. Il n&rsquo;est donc pas surprenant qu&rsquo;apr&egrave;s l&rsquo;intervention des assureurs anglo-saxons sur ce march&eacute; en expansion, tous les assureurs du march&eacute; fran&ccedil;ais tendent &agrave; adopter une strat&eacute;gie de sp&eacute;cialisation dans le cyber-risque de leurs produits et de leur souscription. Le risque &laquo; cyber &raquo; Les virus Les risques sont connus, ou au moins soup&ccedil;onn&eacute;s depuis longtemps&thinsp;: l&rsquo;utilisation de virus en tout genre n&rsquo;est pas r&eacute;cente, mais l&rsquo;apparition des r&eacute;seaux connect&eacute;s, puis celle en 1982 du &laquo; Web &raquo; Internet et des liens hypertextes (HTML) favorisent la naissance des virus et des m&eacute;thodes ayant pour but de nuire ou de s&rsquo;infiltrer dans les r&eacute;seaux. En 1989, les Pays-Bas et la France subissent l&rsquo;attaque des trois virus &laquo; Datacrime &raquo;. En 1999, la bombe logique &laquo; Tchernobyl &raquo; peut rendre &agrave; peu pr&egrave;s inutilisable l&rsquo;ordinateur attaqu&eacute;, pr&eacute;ludant dans les ann&eacute;es 2000 au d&eacute;veloppement de nombreux programmes malveillants et autres virus. Les cyberincidents Selon le Livre blanc du Courtier AON (septembre 2013), le &laquo; cyberincident &raquo; est caract&eacute;ris&eacute; par six &laquo; I &raquo;&thinsp;: invisible, car la r&eacute;v&eacute;lation de l&rsquo;incident est tardive, ce qui rend le contr&ocirc;le de ses cons&eacute;quences difficile&thinsp;; intensif, incompr&eacute;hensible, c&rsquo;est-&agrave;-dire que sa d&eacute;tection et sa mesure sont le fait des seuls sp&eacute;cialistes&thinsp;; international, dans son origine et de ses cons&eacute;quences&thinsp;: le risque s&rsquo;applique &agrave; un r&eacute;seau mondial interconnect&eacute; (World Wide Web)&thinsp;; incertain, ce qui le rend assurable, m&ecirc;me si l&rsquo;al&eacute;a porte moins sur le &laquo; si &raquo; (if) que sur le &laquo; quand &raquo; (when)&thinsp;; intentionnel : l&rsquo;accident est bien moins probable que l&rsquo;acte criminel, malveillant, dolosif et de vol. Il en r&eacute;sulte trois cat&eacute;gories de cause de sinistre&thinsp;: la d&eacute;faillance technique (panne), l&rsquo;erreur humaine (n&eacute;gligence interne &agrave; l&rsquo;entreprise) et notamment la mauvaise gestion ou la mauvaise s&eacute;curisation de l&rsquo;infrastructure du SI, l&rsquo;acte malveillant ou cybercriminalit&eacute; (destruction, usurpation d&rsquo;identit&eacute;, piratage de donn&eacute;es). La cybercriminalit&eacute; Selon l&rsquo;ONU, la cybercriminalit&eacute; recouvre tout comportement ill&eacute;gal, faisant intervenir des op&eacute;rateurs &eacute;lectroniques qui visent la s&eacute;curit&eacute; des syst&egrave;mes informatiques des donn&eacute;es qu&rsquo;ils traitent [1] . Dans un article du 17 d&eacute;cembre 2013, AXA le d&eacute;finit comme &laquo; toutes les infractions sp&eacute;cifiques aux technologies de l&rsquo;information et de la communication, sous forme de vols d&rsquo;informations confidentielles, d&rsquo;infraction dans les syst&egrave;mes, de ran&ccedil;ons &raquo;. Les cybercriminels sont motiv&eacute;s par un but lucratif, revendre les donn&eacute;es vol&eacute;es &agrave; un concurrent, mais aussi par l&rsquo;espionnage, la vengeance, la concurrence ou le soutien &agrave; une cause. Leur activit&eacute; est port&eacute;e par l&rsquo;opportunit&eacute;&thinsp;: le rapport gain/risques est bien meilleur que celui des d&eacute;lits classiques. Le forfait est commis &agrave; distance et le criminel peut ais&eacute;ment cacher son identit&eacute; et &eacute;chapper ainsi aux poursuites. Enfin, le cybercriminel rationalise son geste&thinsp;: son attaque est virtuelle, n&rsquo;expose pas la vie humaine, ce qui lui permet d&rsquo;affirmer que ce d&eacute;lit est &laquo; moins grave &raquo; que les d&eacute;lits classiques (cf. les campagnes laborieuses pour expliquer que la copie &laquo; pirate &raquo; d&rsquo;un DVD est un vol comme un autre). Les victimes potentielles sont diverses. Les 218 OIV (op&eacute;rateurs d&rsquo;importance vitale) fran&ccedil;ais figurent sur une liste &eacute;tablie par l&rsquo;Agence nationale de s&eacute;curit&eacute; des syst&egrave;mes informatiques (ANSSI) le 21 janvier 2014. Leur cyber-protection est une n&eacute;cessit&eacute;, ce qui explique que la liste n&rsquo;est pas publique. On sait cependant qu&rsquo;ils appartiennent &agrave; douze secteurs&thinsp;: activit&eacute; civile et militaire de l&rsquo;&Eacute;tat, justice, espace et recherche, sant&eacute;, gestion de l&rsquo;eau et alimentation, &eacute;nergie, communication, &eacute;lectronique, audiovisuel et information, transport et finances. En r&eacute;alit&eacute;, il y a des OIV dans chaque secteur de l&rsquo;&eacute;conomie fran&ccedil;aise&thinsp;: 60 % sont des acteurs priv&eacute;s et 40 % des acteurs publics. Ils sont notamment oblig&eacute;s de d&eacute;clarer les cyberattaques dont ils font l&rsquo;objet. Ce dispositif est compl&eacute;t&eacute; par les dispositions du Code de la d&eacute;fense sur la &laquo; protection des installations d&rsquo;importance vitale &raquo; dont le mauvais fonctionnement pourrait pr&eacute;senter un danger vital pour la population. Les PME [2] sont des proies faciles, car peu prot&eacute;g&eacute;es. La CNIL (18 f&eacute;vrier 2014) souligne que &laquo; seules 14 % des entreprises de moins de 5&thinsp;000 personnes disposent d&rsquo;un Centre op&eacute;rationnel de s&eacute;curit&eacute; &raquo;. De fa&ccedil;on courante, les PME consid&egrave;rent qu&rsquo;elles ne font pas partie des entreprises cibl&eacute;es par les hackers ou les attaques de concurrents. Or, il est difficile &agrave; une PME de rebondir apr&egrave;s un cyber-sinistre. Cela &eacute;tant, les assureurs et les courtiers &eacute;tablissent des &laquo; classements &raquo; des secteurs les plus touch&eacute;s, donc les plus expos&eacute;s, sites Internet marchands, services en ligne, traitement des paiements, transport et logistique, industrie pharmaceutique, soins de sant&eacute; et services aux entreprises. En r&eacute;alit&eacute;, seul un artisan sans site Internet et tenant sa comptabilit&eacute; sur un grand livre manuel peut l&eacute;gitimement se sentir &agrave; l&rsquo;abri. Sans surprise, les &eacute;tudes am&eacute;ricaines (Verizon, 2011) notent que les cibles principales sont les activit&eacute;s &laquo; d&rsquo;hospitality &raquo;, de vente de d&eacute;tail, les services financiers et les activit&eacute;s publiques (&laquo; Government &raquo;). Les &eacute;volutions r&eacute;centes du risque font qu&rsquo;il est encore consid&eacute;r&eacute; comme &eacute;mergent. La progression des technologies est un facteur d&rsquo;augmentation et d&rsquo;aggravation du risque. L&rsquo;acc&egrave;s &agrave; Internet est d&eacute;sormais g&eacute;n&eacute;ral dans les entreprises ainsi que l&rsquo;Internet mobile et l&rsquo;acc&egrave;s aux r&eacute;seaux &agrave; haut d&eacute;bit (ADSL, Wifi, Bluetooth). La navigation est sans cesse plus rapide et plus fluide (4 G). Les technologies du Web 2.0 renouvellent les modes d&rsquo;utilisation des services Internet (blogs, r&eacute;seaux sociaux). Les capacit&eacute;s et performances des postes de travail ne cessent de s&rsquo;am&eacute;liorer. Le &laquo; Big Data &raquo; est n&eacute; de l&rsquo;explosion du nombre de donn&eacute;es trait&eacute;es et utilis&eacute;es par chaque entreprise. Certains soulignent que le volume d&rsquo;informations et de data stock&eacute;es augmente de 62 % par an, ce qui fait cro&icirc;tre le risque. Outre le volume, la &laquo; v&eacute;locit&eacute; &raquo; importe&thinsp;: pour &ecirc;tre pertinentes et utiles, les donn&eacute;es doivent &ecirc;tre trait&eacute;es tr&egrave;s rapidement. Mais ces donn&eacute;es sont aussi vari&eacute;es (structur&eacute;es et non structur&eacute;es) que les sources (images, messages, enregistrement de GPS) sont diverses. Les moyens d&rsquo;utiliser ces donn&eacute;es se sont eux-m&ecirc;mes multipli&eacute;s. Le cloud computing est la fourniture de ressources informatiques comme &laquo; services &raquo;&thinsp;: IAAS, infrastructure de stockage dans un espace virtuel, PAAS, plate-forme pour d&eacute;velopper, tester et d&eacute;ployer des applications particuli&egrave;res&thinsp;; SAAS, logiciel permettant la mise &agrave; disposition d&rsquo;une application propre &agrave; l&rsquo;entreprise. Selon un article publi&eacute; sur le web par AXA Entreprise, 62 % des entreprises utilisent le cloud pour le stockage de leurs donn&eacute;es. Le &laquo; Bring Your Own Device &raquo; (BYOD), utilisation d&rsquo;appareils personnels dans la sph&egrave;re professionnelle, pose de nouveaux probl&egrave;mes sociaux et juridiques, mais aussi de s&eacute;curit&eacute; informatique et de gestion des risques. Orange Business Service [3] note que &laquo; 25 % des utilisateurs stockent des documents professionnels sur leurs &eacute;quipements mobiles &raquo; et que &laquo; 39 % des entreprises ont d&eacute;j&agrave; connu des failles de s&eacute;curit&eacute;, en raison d&rsquo;utilisation d&rsquo;appareils personnels non autoris&eacute;s &raquo;. Et peu de personnes ont connaissance des risques&thinsp;: 89 % des utilisateurs ignorent qu&rsquo;une application peut transmettre des informations &agrave; leur insu. Les actes cybercriminels se d&eacute;veloppent sur les smartphones qui remplacent les &laquo; institutionnels &raquo; Blackberry. Les r&eacute;seaux sociaux se sont rapidement d&eacute;velopp&eacute;s au cours des dix derni&egrave;res ann&eacute;es&thinsp;: Facebook compterait 1,25 milliard d&rsquo;inscrits (Challenges du 3 f&eacute;vrier 2014). Les entreprises ont cr&eacute;&eacute; leur propre r&eacute;seau pour favoriser la communication entre collaborateurs&thinsp;: les assureurs alertent leurs clients sur l&rsquo;augmentation des risques de diffamation, de violation des donn&eacute;es &agrave; caract&egrave;re personnel et de droits de propri&eacute;t&eacute; intellectuelle. Il faut donc prendre en compte les futurs usages de ces technologies, sachant qu&rsquo;ils ne sont pas cr&eacute;&eacute;s avec les m&ecirc;mes exigences de s&eacute;curit&eacute; que les ordinateurs et les syst&egrave;mes professionnels d&rsquo;information&thinsp;: l&rsquo;intrusion par des objets connect&eacute;s dans le syst&egrave;me d&rsquo;information en est donc d&rsquo;autant plus facile. L&rsquo;augmentation de la cybercriminalit&eacute; Elle r&eacute;sulte d&rsquo;abord de la multiplication des m&eacute;thodes et outils du cyber-fraudeur. L&rsquo;&eacute;tude du Kaspersky Lab (2014) montre que 66 % des cyberattaques r&eacute;sultaient de virus et spywares, 61 % de spam, 36 % de phishing, 24 % de hacking (intrusion dans le r&eacute;seau), 21 % de vols d&rsquo;outils mobiles (smartphones, tablettes), 19 % d&rsquo;attaques Dos et DDos et 17 % de vols de mat&eacute;riel informatique (portables). Les moyens sont tr&egrave;s divers. Les malwares sont des programmes malveillants. Ce sont d&rsquo;abord des virus (petits segments de code ex&eacute;cutable greff&eacute;s &agrave; un programme) qui contaminent les fichiers, les programmes, le contenu du secteur de d&eacute;marrage du disque dur, les commandes d&rsquo;une application&thinsp;: il ralentit l&rsquo;ordinateur, en prend le contr&ocirc;le &agrave; distance, conduit &agrave; perdre ou &agrave; d&eacute;tourner des donn&eacute;es et peut aller jusqu&rsquo;&agrave; la destruction du mat&eacute;riel. Les &laquo; vers &raquo; (worms) sont des programmes autonomes qui se reproduisent d&rsquo;un ordinateur &agrave; l&rsquo;autre, en utilisant seulement les capacit&eacute;s et les faiblesses d&rsquo;un r&eacute;seau. Leurs effets sont la surcharge de l&rsquo;ordinateur, le ralentissement de la connexion Internet du r&eacute;seau, la modification du comportement normal de l&rsquo;ordinateur. L&rsquo;objectif principal des virus est de se dupliquer. Le &laquo; cheval de Troie &raquo; est commun&eacute;ment r&eacute;alis&eacute; pour prendre le contr&ocirc;le de l&rsquo;ordinateur infect&eacute; &agrave; distance, &agrave; l&rsquo;insu de l&rsquo;utilisateur, afin de r&eacute;cup&eacute;rer les mots de passe et utiliser l&rsquo;ordinateur comme serveur des donn&eacute;es pirat&eacute;es, en engageant la responsabilit&eacute; de l&rsquo;utilisateur &laquo; victime &raquo;. Les spywares et adwares sont des logiciels introduits dans un syst&egrave;me pour collecter des informations &agrave; l&rsquo;insu de l&rsquo;utilisateur&thinsp;: divulgation d&rsquo;informations personnelles&thinsp;; apparition de fen&ecirc;tres publicitaires (pop-up), ralentissement de l&rsquo;ordinateur. L&rsquo;adware (de l&rsquo;anglais &laquo; advertising &raquo;&thinsp;: publicit&eacute;) fait appara&icirc;tre des bandeaux publicitaires et des pop-up. Il est consid&eacute;r&eacute; comme relativement inoffensif, mais ralentit l&rsquo;ordinateur. Les spams sont des mails non souhait&eacute;s qui emplissent les bo&icirc;tes mails. Ils sont le plus souvent inoffensifs, mais ils renferment fr&eacute;quemment des virus ou des spywares. Le phishing&thinsp;: le but est de voler l&rsquo;identit&eacute; d&rsquo;utilisateurs telle que donn&eacute;es bancaires, mot de passe, identit&eacute;. Il peut aussi consister &agrave; se faire passer pour une entreprise l&eacute;gitime, afin de rediriger l&rsquo;utilisateur vers un site contrefait. Il peut s&rsquo;agir de poser un crimeware, logiciel malveillant permettant de rediriger l&rsquo;utilisateur vers un site contrefait. Selon le Phishing Activity Trend Report (3e trim. 2013), la France &eacute;tait (en ao&ucirc;t 2019) le deuxi&egrave;me pays (apr&egrave;s les &Eacute;tats-Unis) &agrave; avoir le plus d&rsquo;attaques &laquo; d&rsquo;hame&ccedil;onnage &raquo;. Les attaques Dos et DDos (d&eacute;ni de services et d&eacute;ni de services distribu&eacute;s) ont toutes pour but la mise hors ligne d&rsquo;un serveur, le blocage de l&rsquo;acc&egrave;s &agrave; un serveur mail, l&rsquo;impossibilit&eacute; de distribution et g&eacute;n&eacute;ralement l&rsquo;indisponibilit&eacute;&thinsp;des services et ressources d&rsquo;une organisation, soit par saturation des serveurs, soit par exploitation d&rsquo;une faille du syst&egrave;me le rendant inutilisable. Il s&rsquo;agit l&agrave; de mettre &agrave; mal la r&eacute;putation des soci&eacute;t&eacute;s et leur fonctionnement. Le hacking consiste &agrave; &laquo; s&rsquo;introduire frauduleusement dans un syst&egrave;me ou un r&eacute;seau informatique &raquo; (Larousse). Ses objectifs sont surtout politiques. Le plus c&eacute;l&egrave;bre est l&rsquo;attaque du Gouvernement isra&eacute;lien contre le syst&egrave;me de production des usines nucl&eacute;aires iraniennes. Pour certains, le hacking conduit le cyber vers des actions terroristes. Le terrorisme informatique a pour but, comme toutes les actions terroristes, de nuire &agrave; l&rsquo;ordre public et d&rsquo;entra&icirc;ner une d&eacute;sorganisation g&eacute;n&eacute;rale. Le ver informatique Stuxnet, d&eacute;di&eacute; aux ordinateurs de type robot ou automate industriel, vise directement les &eacute;quipements informatiques des centrales &eacute;nerg&eacute;tiques. Le Nouvel Observateur (octobre 2010) note que le chantage &agrave; la paralysie ou &agrave; la destruction de centrales est possible pour un terroriste, afin d&rsquo;imposer ses exigences (lib&eacute;ration de prisonniers par exemple). Un v&eacute;ritable &laquo; terrorisme informatique &raquo; pourrait ainsi &eacute;merger. La n&eacute;cessit&eacute; incontournable du transfert de risques La prise de conscience par&thinsp;les&thinsp;acteurs &eacute;conomiques des cons&eacute;quences d&rsquo;une&thinsp;cyberattaque Les impacts directs concernent la continuit&eacute; de l&rsquo;activit&eacute; de l&rsquo;entreprise qui peut enregistrer un retard des op&eacute;rations, voire un arr&ecirc;t complet. Les attaques peuvent rendre indisponible le r&eacute;seau ou les donn&eacute;es, provoquant des pertes d&rsquo;exploitation et un &laquo; d&eacute;ni de service &raquo; (Dos). La prise de contr&ocirc;le de l&rsquo;informatique permet de pratiquer l&rsquo;extorsion en exigeant une ran&ccedil;on en &eacute;change de la remise en &eacute;tat de service. Les pertes ou dommages aux biens num&eacute;riques (donn&eacute;es) peuvent produire un co&ucirc;t de restauration &eacute;lev&eacute;. La violation des donn&eacute;es confidentielles des salari&eacute;s ou des clients peut menacer la r&eacute;putation de l&rsquo;entreprise et g&eacute;n&eacute;rer des contentieux co&ucirc;teux. La mise &agrave; mal de la s&eacute;curit&eacute;, de la fiabilit&eacute; et de la qualit&eacute; du syst&egrave;me informatique peut affecter la comptabilit&eacute;, voire les d&eacute;cisions strat&eacute;giques. Des dommages juridiques (violation de la &laquo; conformit&eacute; &raquo;) peuvent r&eacute;sulter de la diffusion des donn&eacute;es confidentielles. Les dommages indirects tiennent essentiellement &agrave; l&rsquo;image et &agrave; la r&eacute;putation de l&rsquo;entreprise. Toutes les entreprises ne sont pas &eacute;gales, face &agrave; l&rsquo;e-r&eacute;putation&thinsp;: si toute l&rsquo;activit&eacute; est concentr&eacute;e sur un seul site Internet, le risque de d&eacute;t&eacute;rioration de la notori&eacute;t&eacute;, en cas de piratage, se trouve aggrav&eacute;. Les dommages aux tiers engagent la RC contractuelle et d&eacute;lictuelle de l&rsquo;entreprise. Il en est ainsi des contentieux avec les partenaires commerciaux (violation d&rsquo;un accord de confidentialit&eacute; des clients et fournisseurs, vol et violation de la vie priv&eacute;e, du fait de la perte ou du vol des donn&eacute;es). La possibilit&eacute; nouvelle des &laquo; class actions &raquo; ouverte en France renforce l&rsquo;ampleur et le co&ucirc;t de r&eacute;alisation de ce risque et p&egrave;se sur la r&eacute;putation &agrave; terme de l&rsquo;entreprise. La loi Informatique et Libert&eacute;s pr&eacute;voit des sanctions p&eacute;nales lourdes (cinq ans d&rsquo;emprisonnement et 300&thinsp;000 euros d&rsquo;amende) pour l&rsquo;entreprise qui n&rsquo;aurait pas pris les pr&eacute;cautions n&eacute;cessaires contre l&rsquo;acc&egrave;s des tiers aux donn&eacute;es qu&rsquo;elle g&egrave;re. Les cyberattaques sont de plus en plus co&ucirc;teuses pour les entreprises qui en sont victimes, ceci concerne d&rsquo;abord le co&ucirc;t de reconstitution des donn&eacute;es vol&eacute;es. L&rsquo;Institut Pon&eacute;mon [4] affirme que le co&ucirc;t moyen par donn&eacute;e perdue aux &Eacute;tats-Unis atteint 200 dollars en 2014 (contre 188 dollars en 2013) et que le vol de donn&eacute;es (juin 2013) co&ucirc;te en moyenne 2,86 millions d&rsquo;euros &agrave; une entreprise fran&ccedil;aise [5] . Chaque donn&eacute;e perdue ou vol&eacute;e doit &ecirc;tre reconstitu&eacute;e par l&rsquo;entreprise, avec des frais &eacute;lev&eacute;s de reconstitution (obligation l&eacute;gale). Les co&ucirc;ts li&eacute;s &agrave; la perte d&rsquo;exploitation sont &eacute;galement en progression. Ceci est particuli&egrave;rement sensible pour les entreprises qui utilisent Internet pour leurs relations-client. Mais l&rsquo;indisponibilit&eacute; du syst&egrave;me informatique peut &eacute;videmment cr&eacute;er des pertes d&rsquo;exploitation ind&eacute;pendamment du e-commerce. Enfin, les co&ucirc;ts r&eacute;sultent aussi des co&ucirc;ts de restauration de la r&eacute;putation, des frais de notification et des frais li&eacute;s aux dispositifs de communication mis en place pour g&eacute;rer la crise (mailings, centre d&rsquo;appels t&eacute;l&eacute;phoniques). Les entreprises ont mis en œuvre des mesures de gestion des risques et des crises. Il s&rsquo;agit de conna&icirc;tre, de lister, d&rsquo;analyser et de classifier les risques cyber et les personnes expos&eacute;es au risque [6] . La hi&eacute;rarchisation des risques tient compte des mesures de pr&eacute;vention d&eacute;j&agrave; existantes dans l&rsquo;entreprise et de l&rsquo;impact sur son activit&eacute;, de la r&eacute;alisation du risque. Ensuite, la cartographie des risques permet d&rsquo;appr&eacute;cier la solidit&eacute; et l&rsquo;efficacit&eacute; des mesures prises. De nombreuses mesures existent&thinsp;: s&eacute;curisation du syst&egrave;me d&rsquo;information, cryptage, processus ou chartes pour limiter le risque de n&eacute;gligence, tests r&eacute;guliers, contr&ocirc;le des sous-traitants, acc&egrave;s des salari&eacute;s aux donn&eacute;es sensibles de l&rsquo;entreprise, etc. La gestion de crise est assur&eacute;e, soit en interne, soit par un partenaire externe, avec une infrastructure appropri&eacute;e&thinsp;: plan de gestion de crise, cellule de crise, centre d&rsquo;appels d&eacute;di&eacute;s aux clients, communication pr&eacute;par&eacute;e, site Internet prenant le relais en cas de d&eacute;faillance du site principal. Les mesures internes ne sont cependant pas sans faille. Aon rappelle que &laquo; la s&eacute;curit&eacute; absolue n&rsquo;existera jamais [7] &raquo;. Ranjan Pal [8] met en avant cinq causes de ces faiblesses&thinsp;: la rapidit&eacute; d&rsquo;&eacute;volution de la technologie, l&rsquo;ind&eacute;pendance des utilisateurs d&rsquo;Internet qui sont libres de choisir leur niveau de protection, le fait de se sentir prot&eacute;g&eacute; par les mesures prises par d&rsquo;autres utilisateurs, la tendance de chacun d&rsquo;attendre que d&rsquo;autres aient fait le &laquo; premier pas &raquo; en mati&egrave;re de s&eacute;curit&eacute;, le fait que les vendeurs de progiciel de s&eacute;curit&eacute; ne savent pas (ou ne veulent pas) dire quel niveau de s&eacute;curit&eacute; est garanti par leur mat&eacute;riel. La r&eacute;alisation du risque joue&thinsp;un grand r&ocirc;le dans&thinsp;la&thinsp;prise de conscience du&thinsp;risque par les entreprises En 2011, le portail interactif de Play Station Network de Sony (&Eacute;tats-Unis) a &eacute;t&eacute; pirat&eacute; et les donn&eacute;es personnelles de 100 millions d&rsquo;utilisateurs ont &eacute;t&eacute; compromises. Sony a d&eacute;couvert que son assurance RC ne couvrait pas les risques cyber et la justice a d&eacute;cid&eacute; que seule une assurance sp&eacute;cifique &agrave; ce type de risque pouvait &ecirc;tre mise en jeu. L&rsquo;affaire Snowden, du nom de celui qui a d&eacute;voil&eacute; les r&eacute;seaux de surveillance de milliers d&rsquo;ordinateurs par la National Security Agency, a d&eacute;montr&eacute; les possibilit&eacute;s de l&rsquo;espionnage &laquo; cyber &raquo;. En d&eacute;cembre 2013, la cha&icirc;ne de distribution am&eacute;ricaine Target a fait l&rsquo;objet d&rsquo;un piratage des cartes de cr&eacute;dit de ses clients. Les premiers chiffrages du sinistre montrent l&rsquo;ampleur de ce piratage&thinsp;: 110 millions de victimes, 15,3 millions de cartes r&eacute;&eacute;mises aujourd&rsquo;hui (co&ucirc;t&thinsp;: 150 millions de dollars), 19 class actions engag&eacute;es contre Target, 5 millions de dollars de co&ucirc;t de r&eacute;paration de la faille informatique, 61 millions de dollars d&rsquo;indemnit&eacute;s au 3e trimestre 2013, un rabais de prix de 10 % &agrave; l&rsquo;ensemble des clients de Target, le b&eacute;n&eacute;fice net de 2013 r&eacute;duit de 34,28 %, un service de veille Internet mis &agrave; disposition des clients (20 dollars par utilisateur), le b&eacute;n&eacute;fice net par action sur trois mois qui a baiss&eacute; de 41,60 %. Le renforcement des&thinsp;contraintes r&eacute;glementaires Une Directive europ&eacute;enne du 25 novembre 2009, transpos&eacute;e en Droit fran&ccedil;ais par un d&eacute;cret du 30 mars 2012, oblige les entreprises de t&eacute;l&eacute;communications et fournisseurs d&rsquo;acc&egrave;s Internet &agrave; d&eacute;clarer sous 24 heures, &agrave; la CNIL, la survenance d&rsquo;une attaque cyber entra&icirc;nant la destruction, la perte, la divulgation ou l&rsquo;acc&egrave;s non autoris&eacute; &agrave; des donn&eacute;es personnelles. Cette obligation s&rsquo;applique aussi &agrave; toutes les personnes concern&eacute;es par une telle attaque. La d&eacute;claration est obligatoire pour les seules entreprises et pour les personnes physiques, seulement en cas d&rsquo;usurpation d&rsquo;identit&eacute;. La notification est relativement co&ucirc;teuse pour les entreprises, m&ecirc;me si les frais peuvent &ecirc;tre couverts dans le cadre d&rsquo;une assurance cyber alors que les amendes ne le sont &eacute;videmment pas. On peut penser que la CNIL n&rsquo;a gu&egrave;re les moyens de s&eacute;vir, comme le montre l&rsquo;amende inflig&eacute;e &agrave; Google de 150&thinsp;000 euros pour la collecte non autoris&eacute;e de donn&eacute;es sur son syst&egrave;me Street Wiew. L&rsquo;amende italienne s&rsquo;&eacute;levait, elle, &agrave; 1 million d&rsquo;euros. Pour les 218 OIV [9] , trois cat&eacute;gories d&rsquo;obligations leur sont impos&eacute;es&thinsp; [10] : d&eacute;tection et gestion des risques, notification des incidents, audits syst&eacute;matiques effectu&eacute;s par des prestataires de services qualifi&eacute;s, afin de v&eacute;rifier le niveau de s&eacute;curit&eacute; et les r&egrave;gles. La simple &laquo; n&eacute;gligence est en principe condamnable (article pr&eacute;cit&eacute;), avec des amendes de 150&thinsp;000 euros et 750&thinsp;000 euros pour les personnes morales &raquo;. L&rsquo;assurabilit&eacute; des&thinsp;cyberattaques&thinsp;: situation actuelle Les r&eacute;ponses partielles des assurances &laquo; traditionnelles &raquo; L&rsquo;assurance de dommages aux biens indemnise un pr&eacute;judice issu de la destruction, de la d&eacute;gradation ou de la disparition d&rsquo;un bien. Ainsi, le risque cyber est-il couvert au titre des dommages caus&eacute;s &agrave; la disponibilit&eacute;, l&rsquo;int&eacute;grit&eacute; et la confidentialit&eacute; des donn&eacute;es. En cas de dommages mat&eacute;riels, les frais de reconstitution peuvent &ecirc;tre pris en charge. La perte d&rsquo;exploitation prend en charge la perte du chiffre d&rsquo;affaires et les d&eacute;penses suppl&eacute;mentaires. Mais, seuls les dommages mat&eacute;riels accidentels (non exclus) sont couverts. Les dommages immat&eacute;riels &laquo; non cons&eacute;cutifs &raquo; &agrave; un dommage mat&eacute;riel ne sont pas pris en charge. Le SI d&eacute;truit par un incendie est pris en charge, mais les dommages caus&eacute;s par un virus (dommage immat&eacute;riel) ne le sont pas. Naturellement, des extensions de garantie sont possibles, mais elles sont souvent &eacute;troitement &laquo; sous-limit&eacute;es &raquo;. La RC couvre les dommages mat&eacute;riels et immat&eacute;riels caus&eacute;s aux tiers&thinsp;: la couverture est utilisable dans le cas d&rsquo;une cyberattaque ou des n&eacute;gligences provoquant la perte de donn&eacute;es d&rsquo;un ou de plusieurs tiers. Elle couvre donc les dommages immat&eacute;riels cons&eacute;cutifs et non cons&eacute;cutifs. Mais elle suppose la r&eacute;clamation d&rsquo;un tiers, suite &agrave; la perte ou au vol de donn&eacute;es personnelles par exemple. Elle peut m&ecirc;me, par extension, couvrir les frais de d&eacute;claration et de notification au client qui provoquent la r&eacute;clamation. Selon les contrats, il peut y avoir des exclusions &laquo; rachetables &raquo; sur les faits g&eacute;n&eacute;rateurs de sinistres &laquo; virus et terrorisme &raquo;. En revanche, la divulgation de donn&eacute;es confidentielles et l&rsquo;acc&egrave;s non autoris&eacute; sont toujours exclus. Comme pour les DAB, les diverses garanties RC-Cyber sont souvent soumises &agrave; des &laquo; sous-limites &raquo; dans la garantie RC-G de l&rsquo;entreprise. L&rsquo;assurance fraude et, semble-t-il, l&rsquo;assurance extorsion, au titre de la prise en otage d&rsquo;un syst&egrave;me d&rsquo;information malware (avec une demande de ran&ccedil;on pour d&eacute;barrasser l&rsquo;outil des virus) peuvent &ecirc;tre mises en jeu &agrave; l&rsquo;&eacute;gard des dommages dus &agrave; une cyberattaque r&eacute;alis&eacute;e sous une forme de fraude. L&rsquo;assurance &laquo; Dataguard &raquo; couvre la perte de donn&eacute;es, suite &agrave; un dommage immat&eacute;riel&thinsp;; elle indemnise les frais de reconstitution, mais pas les frais de notification, de surveillance, de monitoring ou de recherche. L&rsquo;Assurance &laquo; tous risques &eacute;lectroniques &raquo; (ou &laquo; informatiques &raquo;) couvre surtout les dommages aux mat&eacute;riels et n&eacute;cessite une couverture suppl&eacute;mentaire pour les frais de reconstitution des donn&eacute;es perdues. L&rsquo;assurance du management de crise couvre notamment les d&eacute;penses de communication expos&eacute;es, afin de r&eacute;duire au minimum la perte de notori&eacute;t&eacute;. Le d&eacute;veloppement en France des&thinsp;cyberassurances Les premiers intervenants sur le march&eacute; fran&ccedil;ais de la cyberassurance ont &eacute;t&eacute; les Anglo-Saxons. AIG a lanc&eacute; un produit d&eacute;di&eacute; aux cyber-risques&thinsp;; ACE fournit un compl&eacute;ment de garantie pour les dommages immat&eacute;riels et les pr&eacute;judices occasionn&eacute;s aux tiers&thinsp;; XL propose deux contrats exclusivement adapt&eacute;s aux cyber-risques&thinsp;; CNA couvre la RC-Cyber (vol, violation, extorsion de donn&eacute;es) avec garanties contre les cyberattaques (dommages). BEAZLEY offre une gamme de produits et services d&rsquo;assurances consacr&eacute;s aux risques de cybercriminalit&eacute; [11] et met &agrave; disposition une &eacute;quipe de prestataires pouvant intervenir dans le domaine scientifique, informatique et juridique. En 2013-2014, deux grands acteurs traditionnels du march&eacute; fran&ccedil;ais, Allianz, puis AXA, ont propos&eacute; des contrats sp&eacute;cifiques au risque cyber. Pour AXA, le contrat Cyber Sph&egrave;re est un contrat unique (dommages, RC et fraude informatique), avec une adaptation aux march&eacute;s locaux (France, Royaume-Uni, Allemagne) et une protection de l&rsquo;assur&eacute;, suite &agrave; une atteinte aux programmes et donn&eacute;es, et m&ecirc;me en l&rsquo;absence de dommages mat&eacute;riels. Ces offres sont plut&ocirc;t r&eacute;serv&eacute;es aux tr&egrave;s grandes entreprises. AXA Entreprise a construit &agrave; c&ocirc;t&eacute; un produit adapt&eacute; aux PME. Les r&eacute;assureurs sont pour la plupart en phase de r&eacute;flexion sur le risque, soit en tant que souscripteurs de trait&eacute; qu&rsquo;en cessions facultatives o&ugrave; ils agiraient en tant qu&rsquo;assureurs quasi directs. Les contenus des contrats de cyberassurance disponibles sur le march&eacute; comprennent des garanties des co&ucirc;ts li&eacute;s &agrave; une attaque cybercriminelle, soit au titre de la RC (y compris parfois l&rsquo;e-r&eacute;putation), soit au titre des dommages (frais de recherche, de reconstitution des donn&eacute;es, pertes d&rsquo;exploitation, ran&ccedil;on, p&eacute;nalit&eacute;s assurables, frais de notification et communication, fraude et vol, pr&eacute;servation d&rsquo;image, etc.). Les contrats pr&eacute;voient aussi la couverture des cons&eacute;quences de la fraude (pertes financi&egrave;res, frais de notification). Par ailleurs, les assureurs pr&eacute;sents sur le march&eacute; fran&ccedil;ais tendent &agrave; proposer une assistance &agrave; la gestion de la crise cyber dans l&rsquo;entreprise, en g&eacute;n&eacute;ral, par mise &agrave; disposition d&rsquo;un prestataire externe. Celui-ci peut proposer des audits de vuln&eacute;rabilit&eacute; du site d&rsquo;information ex ante, ou proposer des mesures de restauration pendant la crise, ou un syst&egrave;me de gestion de crise. Il peut s&rsquo;agir aussi d&rsquo;un syst&egrave;me d&rsquo;assistance et de communication de crise. D&rsquo;autres assurances &eacute;vitent de s&rsquo;impliquer dans la gestion des risques et des sinistres chez les clients. Certains mettent en avant la qualit&eacute; technique du prestataire de services auquel ils ont recours. Quant &agrave; la souscription elle-m&ecirc;me, les assureurs s&rsquo;efforcent de comprendre les besoins du client et d&rsquo;appr&eacute;cier la qualit&eacute; des mesures de protection prises&thinsp;: c&rsquo;est le but du &laquo; questionnaire &raquo; et des r&eacute;unions pr&eacute;alables avec le client. Enfin, il faut souligner trois avantages compl&eacute;mentaires des assurances cyber. Elle permet de prot&eacute;ger la capacit&eacute; des autres assurances de l&rsquo;entreprise, en cr&eacute;ant une capacit&eacute; sp&eacute;cifique. En cas de sinistre (RC ou dommages) autre que cyber, il reste de la capacit&eacute; pour couvrir le dommage ou la RC li&eacute;e &agrave; une attaque cyber. Elle couvre une gestion sp&eacute;cifique du sinistre cyber avec un interlocuteur sp&eacute;cialis&eacute; et un accompagnement technique, rapide et adapt&eacute; &agrave; la nature m&ecirc;me du sinistre. Elle constitue un gage de qualit&eacute; pour l&rsquo;entreprise assur&eacute;e, ce qui rassure ses clients et ses prestataires. L&rsquo;avenir de&thinsp;l&rsquo;assurance des&thinsp;risques cyber Le march&eacute; reste encore limit&eacute; Ses limitations tiennent aux caract&eacute;ristiques du risque lui-m&ecirc;me. Le niveau de technicit&eacute; d&rsquo;abord&thinsp;: les techniques de cyberattaque auront toujours une longueur d&rsquo;avance. Les objets connect&eacute;s sont de plus en plus nombreux et la technologie va toujours plus loin. La cybercriminalit&eacute; &eacute;volue au m&ecirc;me rythme et les opportunit&eacute;s d&rsquo;attaque croissent exponentiellement&thinsp;: le calcul du Sinistre maximum possible fond&eacute; sur l&rsquo;appr&eacute;ciation de ce qui a eu lieu est donc souvent mis en cause. Les impacts sont plus difficilement quantifiables&thinsp;: la partie mat&eacute;rielle (les SI) est connue, donc ais&eacute;ment assurable, mais les cons&eacute;quences immat&eacute;rielles et leur &eacute;tendue sont difficiles &agrave; mesurer. Les co&ucirc;ts du sinistre Target n&rsquo;ont cess&eacute; d&rsquo;&eacute;voluer au cours des mois qui ont suivi le sinistre. Il faut aussi conna&icirc;tre le chiffre d&rsquo;affaires r&eacute;alis&eacute; en jours, en heures, en minutes sur le site, le temps et la valeur en jour/homme de la remise en fonctionnement du site et de la reconstitution des donn&eacute;es perdues. Les co&ucirc;ts de notification et de gestion des clients peuvent &ecirc;tre &eacute;galement &eacute;lev&eacute;s. Enfin, ces risques sont, par nature, transfrontaliers et l&rsquo;assurance doit couvrir l&rsquo;ensemble du Groupe industriel ou de services, o&ugrave; que se produise le sinistre qui peut concerner plusieurs (ou de nombreux) pays o&ugrave; les r&eacute;glementations sont diverses. Les limites de l&rsquo;assurabilit&eacute; tiennent aussi aux probl&eacute;matiques assurantielles elles-m&ecirc;mes. Les actuaires soulignent le manque de vision sur l&rsquo;historique du risque qui r&eacute;duit la connaissance de la fr&eacute;quence et de la gravit&eacute; du risque. Pour rendre le risque assurable, les entreprises doivent justifier de la performance de leur syst&egrave;me de pr&eacute;vention. L&rsquo;assureur peut donc demander l&rsquo;emploi de certains outils de s&eacute;curisation du syst&egrave;me d&rsquo;information et de gestion des cyber-risques. La qualit&eacute; de la pr&eacute;vention et l&rsquo;appr&eacute;ciation de la qualit&eacute; de celle-ci sont d&eacute;terminantes de l&rsquo;assurabilit&eacute; du risque. La capacit&eacute; d&rsquo;assurance et de r&eacute;assurance fait l&rsquo;objet de d&eacute;bats. Elle se situe entre 150 et 350 millions d&rsquo;euros, selon les interlocuteurs. Or, les clients semblent n&rsquo;avoir jamais demand&eacute; plus de 150 millions d&rsquo;euros. Cela &eacute;tant, les sinistres de forte intensit&eacute; d&eacute;passent largement ces montants et ce sont ces sinistres (Sony, Target) qui inqui&egrave;tent les Risk Managers qui, faute d&rsquo;une capacit&eacute; suffisante (selon eux), renoncent &agrave; souscrire une assurance cyber qui, pour eux, doit couvrir ces risques de pointe. Certains assureurs se proposent d&rsquo;intervenir en direct (r&eacute;assurance facultative) pour couvrir ces risques en d&eacute;gageant les capacit&eacute;s n&eacute;cessaires. Il est certain pour beaucoup que les r&eacute;assureurs prendront une part croissante dans le march&eacute; de la cyberassurance. L&rsquo;asym&eacute;trie d&rsquo;information est un sujet traditionnel, mais particuli&egrave;rement important dans ce cas. Beaucoup soulignent que les responsables du syst&egrave;me d&rsquo;information ne sont pas toujours enclins &agrave; participer &agrave; la souscription d&rsquo;assurances cyber dont l&rsquo;achat est confi&eacute; &agrave; la Direction des achats et au Risk Manager. Or, leur r&ocirc;le est d&eacute;terminant dans la connaissance des failles potentielles du syst&egrave;me d&rsquo;information qu&rsquo;il leur est parfois difficile de reconna&icirc;tre. Par ailleurs, ils ne souhaitent pas communiquer des donn&eacute;es confidentielles &agrave; des tiers ext&eacute;rieurs ou nuire &agrave; l&rsquo;image de leur entreprise. Enfin, les assureurs craignent traditionnellement l&rsquo;anti-s&eacute;lection particuli&egrave;rement pertinente dans ce type de risque, g&eacute;n&eacute;ralement tarif&eacute; au co&ucirc;t moyen, avec des diff&eacute;renciations relativement faibles. On est, pour l&rsquo;instant, assez loin de pouvoir &eacute;tablir des primes actuariellement exactes. Les limites rencontr&eacute;es lors de la souscription sont diverses. La question des co&ucirc;ts de prime est &eacute;videmment centrale. Les risques sont nombreux, divers, mal connus et les sinistres maximaux peuvent &ecirc;tre tr&egrave;s &eacute;lev&eacute;s. Les taux de prime sont donc relativement &eacute;lev&eacute;s, m&ecirc;me si le co&ucirc;t global ne d&eacute;passe pas 3 &agrave; 5 % du budget de s&eacute;curit&eacute; IT d&rsquo;une PME. Il est &eacute;videmment plus &eacute;lev&eacute; pour une entreprise de vente en ligne, disposant de nombreuses filiales &agrave; l&rsquo;&eacute;tranger. Il est possible que le d&eacute;veloppement de la concurrence sur ce march&eacute; fasse baisser les taux de prime. La question des &laquo; doublons &raquo; d&rsquo;assurance se pose, d&egrave;s lors que les Assurances Cyber se superposent aux garanties d&eacute;j&agrave; existantes dans les assurances traditionnelles, ce qui &eacute;carte l&rsquo;id&eacute;e de souscrire une assurance sp&eacute;cifique. Les assurances traditionnelles peuvent couvrir l&rsquo;impact des divers risques cyber, sauf l&rsquo;obligation de notifier aux clients les pertes de donn&eacute;es et seules quelques entreprises sont soumises &agrave; cette obligation. Les entreprises, si elles sont bien garanties au titre de leurs polices RC et Dommages, peuvent avoir l&rsquo;impression de payer deux fois pour la m&ecirc;me couverture. Les assureurs s&rsquo;efforcent de r&eacute;pondre &agrave; cette critique avec des montages, en utilisant des polices &laquo; cyber &raquo; en exc&eacute;dent des contrats traditionnels et surtout, en anticipant une possible exclusion de garanties li&eacute;es aux dommages cyber, courante dans les polices traditionnelles. En outre, comme aux &Eacute;tats-Unis, depuis plusieurs ann&eacute;es, les assureurs tendent &agrave; exclure les garanties risques cyber des polices traditionnelles et permettent ainsi de d&eacute;velopper des produits enti&egrave;rement d&eacute;di&eacute;s. Les garanties cyber restent encore limit&eacute;es. Le cloud computing en particulier, est exclu, car la question essentielle reste de d&eacute;terminer quelle est l&rsquo;entreprise dont la RC sera engag&eacute;e&thinsp;: le propri&eacute;taire des donn&eacute;es ou le gardien de celles-ci. En cas de pertes de donn&eacute;es, c&rsquo;est l&rsquo;entreprise propri&eacute;taire qui est responsable et fait face au sinistre de r&eacute;putation qui en r&eacute;sulte. Le fait d&rsquo;utiliser le cloud peut donc entra&icirc;ner une r&eacute;duction de couverture. Il en est de m&ecirc;me pour la couverture des &eacute;volutions technologiques r&eacute;centes, le BYOD et les objets connect&eacute;s &eacute;tant exclus de la police Cyber. Si des extensions devaient &ecirc;tre mises sur le march&eacute;, elles auraient naturellement des effets sur le niveau de la tarification. De m&ecirc;me, les polices Cyber excluent souvent les pannes informatiques, erreurs humaines ou interruptions de prestations d&rsquo;&eacute;lectricit&eacute;. Elles peuvent &ecirc;tre couvertes par des extensions, mais celles-ci sont co&ucirc;teuses. La cyber-extorsion peut causer des frais importants, soit du fait de la &laquo; ran&ccedil;on &raquo; exig&eacute;e par le criminel, soit du fait des efforts faits sur une courte p&eacute;riode par l&rsquo;entreprise sp&eacute;cialis&eacute;e en cryptologie, pour contrer le hacker. L&rsquo;intervention peut durer d&rsquo;une semaine &agrave; six mois, avec des co&ucirc;ts de 1&thinsp;000 &agrave; 3&thinsp;000 euros par jour/homme. L&rsquo;arr&ecirc;t de l&rsquo;entreprise g&eacute;n&egrave;re des pertes d&rsquo;exploitation et une d&eacute;gradation d&rsquo;image. Le calcul &eacute;conomique consiste &agrave; rapprocher le prix de la ran&ccedil;on des co&ucirc;ts de d&eacute;cryptage et d&rsquo;interruption et de choisir la solution en fonction de ces co&ucirc;ts. Les polices Cyber devront dans le futur tenir compte de ces caract&eacute;ristiques, en &eacute;largissant le spectre de leurs garanties. Il sera n&eacute;cessaire pour l&rsquo;assureur d&rsquo;appr&eacute;cier si l&rsquo;entreprise a atteint le niveau de pr&eacute;vention et de vigilance requis par l&rsquo;assureur. On peut craindre que les assureurs n&rsquo;utilisent l&rsquo;argument &laquo; il faut avoir fait tout le n&eacute;cessaire &raquo; pour &ecirc;tre couvert. On pourrait imaginer que l&rsquo; ANSSI [12] intervienne pour fixer les limites que peut et doit demander l&rsquo;assureur et qu&rsquo;elle contr&ocirc;le le respect de ces mesures par les professionnels. Plus g&eacute;n&eacute;ralement, l&rsquo;enjeu majeur est de faire en sorte que les entreprises prennent conscience de l&rsquo;ampleur du risque. Il semble que celle-ci s&rsquo;effectue assez rapidement depuis deux ans. Une &eacute;tude de Steria publi&eacute;e sur Internet montre que &laquo; 91 % des entreprises europ&eacute;ennes s&rsquo;estiment capables de faire face &agrave; une crise majeure de s&eacute;curit&eacute; &raquo;, car &laquo; moins de 25 % sont dot&eacute;s de capacit&eacute;s op&eacute;rationnelles, 24 h/24 h&thinsp; et 7 j/7 j &raquo;. STERIA s&rsquo;interroge donc sur la confiance jug&eacute;e trop &eacute;lev&eacute;e des entreprises, alors que toutes sont susceptibles d&rsquo;&ecirc;tre touch&eacute;es. Les perspectives de ce march&eacute; sont plut&ocirc;t favorables Les polices devront &ecirc;tre adaptables aux futures interventions des Pouvoirs Publics. Il s&rsquo;agit d&rsquo;abord des r&eacute;glementations europ&eacute;ennes &agrave; venir. La proposition de r&egrave;glement relatif &agrave; la protection des donn&eacute;es personnelles devrait &eacute;tendre et renforcer les obligations de la Directive du 25 novembre 2009 (2009/139/CE) transpos&eacute;es en Droit fran&ccedil;ais par d&eacute;cret du 30 mars 2012. Il s&rsquo;agit de prot&eacute;ger les donn&eacute;es personnelles et de renforcer le contr&ocirc;le de la violation de la vie priv&eacute;e. Les entreprises devront d&eacute;clarer la d&eacute;couverte d&rsquo;une faille de s&eacute;curit&eacute;, dans les 24 heures &agrave; la CNIL dont les pouvoirs de sanction seraient renforc&eacute;s. L&rsquo;amende pourrait atteindre 2 &agrave; 5 % du chiffre d&rsquo;affaires global de l&rsquo;entreprise. Le texte devait s&rsquo;appliquer au 1er&thinsp;janvier 2016, apr&egrave;s approbation pr&eacute;vue au d&eacute;but 2014, en laissant un d&eacute;lai de 1 &agrave; 2 ans aux entreprises pour s&rsquo;adapter. La date &eacute;voqu&eacute;e aujourd&rsquo;hui est le 1er&thinsp;janvier 2015, mais la communication sur le sujet est faible. Ce r&egrave;glement s&rsquo;appliquera aux entreprises non encore concern&eacute;es par l&rsquo;obligation de d&eacute;claration&thinsp;: elle devrait accro&icirc;tre l&rsquo;int&eacute;r&ecirc;t pour l&rsquo;assurance Cyber. La Directive sur la s&eacute;curit&eacute; des r&eacute;seaux et de l&rsquo;information a &eacute;t&eacute; adopt&eacute;e par le Parlement europ&eacute;en en f&eacute;vrier 2014. Le texte n&rsquo;a pas encore &eacute;t&eacute; adopt&eacute; par le Conseil europ&eacute;en et elle devra ensuite &ecirc;tre transpos&eacute;e en Droit interne. M&ecirc;me si la France a pris les devants dans la loi de programmation militaire, la transposition de la Directive devrait entra&icirc;ner des am&eacute;nagements en Droit interne. Les prestataires de services en ligne et les op&eacute;rateurs d&rsquo;infrastructures critiques auront l&rsquo;obligation de d&eacute;tecter et de g&eacute;rer les risques et de signaler les incidents graves &agrave; l&rsquo;Autorit&eacute; nationale comp&eacute;tente. Celle-ci d&eacute;cidera ou non de rendre l&rsquo;incident public et pourra d&eacute;cider de sanctions en cas de non-respect des r&egrave;gles, mais seulement en cas d&rsquo;agissement international ou de n&eacute;gligence grave. La Directive Solvabilit&eacute;&thinsp;2 pr&eacute;voit que les Autorit&eacute;s de Contr&ocirc;le doivent avoir &laquo; les moyens, m&eacute;thodes et pouvoirs appropri&eacute;s pour &eacute;valuer les risques &eacute;mergents [&hellip;] susceptibles d&rsquo;affecter leur solidit&eacute; financi&egrave;re &raquo;. Les assureurs soumis aux r&egrave;gles de solvabilit&eacute; de la Directive pourraient &ecirc;tre amen&eacute;s &agrave; revoir leurs capacit&eacute;s attribu&eacute;es aux cyber-risques. Des &eacute;volutions sont attendues &eacute;galement en Droit interne, notamment les d&eacute;crets d&rsquo;application de la loi de programmation militaire sur la qualification des syst&egrave;mes de d&eacute;tection d&rsquo;&eacute;v&eacute;nements susceptibles de nuire &agrave; la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information demand&eacute;s aux OIV. Ils d&eacute;finiront sans doute les &laquo; incidents &raquo; que les OIV seront contraints de d&eacute;clarer au Premier ministre. Il est probable que ceux-ci seront incit&eacute;s &agrave; souscrire des polices d&rsquo;Assurance Cyber. Pour autant, il est peu probable que cette r&eacute;glementation conduise &agrave; cr&eacute;er une obligation d&rsquo;assurance&thinsp;: la plupart des acteurs, assureurs comme assur&eacute;s, y sont en g&eacute;n&eacute;ral oppos&eacute;s. Les facteurs endog&egrave;nes favorables &agrave; la souscription d&rsquo;Assurances Cyber ne manquent pas, m&ecirc;me si le succ&egrave;s commercial semble se faire attendre. La survenance de cyber-sinistres permettra malheureusement aux assureurs et assur&eacute;s, de mieux conna&icirc;tre le march&eacute;, ils conduiront &agrave; am&eacute;liorer les bases de la tarification, &agrave; &eacute;largir les garanties, &agrave; accro&icirc;tre les capacit&eacute;s et &agrave; am&eacute;liorer l&rsquo;accompagnement des clients (pr&eacute;vention et gestion de crise). La m&eacute;diatisation de l&rsquo;impact des cyber-sinistres fera beaucoup pour faire prendre conscience aux entreprises de leur exposition au risque. Certains n&rsquo;h&eacute;sitent pas &agrave; attendre la survenance du &laquo; Big One &raquo; (suspension de la cotation &agrave; New York pour cause de piratage informatique, par exemple). Les organisations professionnelles ( AMRAE [13] notamment) travaillent activement &agrave; faire prendre conscience du risque par leurs adh&eacute;rents. Pour l&rsquo;heure, la maturit&eacute; du march&eacute; para&icirc;t encore lointaine. Pour certains, la logique voudrait que toutes les entreprises assurent leurs risques cyber. Pour d&rsquo;autres, la progression sera lente et par palier. Ceci s&rsquo;explique par l&rsquo;instabilit&eacute; du risque (les hackers inventent chaque jour de nouvelles proc&eacute;dures) et par le fait qu&rsquo;une sorte de comp&eacute;tition s&rsquo;&eacute;tablit au sein des entreprises entre ceux &ndash; sp&eacute;cialistes informatiques&thinsp;&ndash; qui pensent que la technologie peut contrer les cyber-risques et ceux qui privil&eacute;gient des solutions d&rsquo;assurance. Le d&eacute;veloppement des technologies de l&rsquo;information est parall&egrave;le &agrave; celui du cyber-risque&thinsp;: la fr&eacute;quence des attaques montre que la technologie ne peut pas cr&eacute;er un &laquo; risque z&eacute;ro &raquo;. Le risque est d&eacute;j&agrave; partiellement couvert par les assurances traditionnelles, ce qui nuit &agrave; l&rsquo;&eacute;mergence d&rsquo;une &laquo; ligne de business &raquo; sp&eacute;cifique. Les assur&eacute;s craignent des doublons, des garanties &laquo; gadget &raquo;, des primes &eacute;lev&eacute;es, des capacit&eacute;s insuffisantes pour couvrir des risques catastrophiques. Les assureurs cherchent &agrave; conna&icirc;tre toutes les facettes du risque, &agrave; g&eacute;n&eacute;rer des tarifications actuariellement satisfaisantes, &agrave; lutter contre l&rsquo;asym&eacute;trie d&rsquo;information et l&rsquo;anti-s&eacute;lection. La r&eacute;glementation tend &agrave; mettre en place de facto, un risque cyber que les entreprises devront assurer m&ecirc;me sans obligation d&rsquo;assurance. En tout &eacute;tat de cause, les acteurs du march&eacute;, en particulier courtiers et assureurs, travaillent &agrave; pr&eacute;senter une offre adapt&eacute;e aux plus grandes entreprises, aux PME-PMI et aux entreprises &agrave; risque &eacute;lev&eacute; (e-commerce). Le march&eacute; est tr&egrave;s loin de la maturit&eacute; et les souscriptions devraient progressivement se d&eacute;velopper, surtout si de graves &laquo; incidents &raquo; se produisent dans un avenir proche. 1 Cit&eacute; par Myriam Qu&eacute;m&eacute;ner et Jo&euml;l Ferry (2007), Cybercriminalit&eacute;&thinsp;: d&eacute;fi mondial et r&eacute;ponse, Economica. 2 Moins de 250 salari&eacute;s &ndash; chiffre d&rsquo;affaires inf&eacute;rieur &agrave; 50 millions d&rsquo;euros. 3 P.Y. Gouardin. 10 d&eacute;cembre 2012. 4 Institut menant des recherches ind&eacute;pendantes sur la vie priv&eacute;e, la protection des donn&eacute;es et la politique de s&eacute;curisation de l&rsquo;information. 5 9e &eacute;dition de l&rsquo;&eacute;tude &laquo; Costs of Data Breach &raquo;. 6 Cf.&thinsp;le Livre Blanc d&rsquo;Aon, septembre 2013. 7 Ibid. 8 Cyber Insurance for Cyber Security&thinsp;: A Solution to the Information Asymmetry Problem, University Southern California, 2012. 9 Appel&eacute;s &laquo; op&eacute;rateurs d&rsquo;infrastructure essentielle &raquo; dans la proposition de Directive europ&eacute;enne. 10 Source&thinsp;: article du 15 avril 2014 du Cabinet Deleporte Wentz Avocats. 11 Thomas Baume, Argus du 1er&thinsp;avril 2012. 12 Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information. 13 Association pour le management des risques et des assurances de l&rsquo;entreprise.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Informatique

Cyber-risques & cyber- assurances

Virus, terrorisme informatique ; erreur humaine… les cyber-risques se multiplient. Peu à peu les entreprises prennent conscience des dangers encourus. Les assureurs anglo-saxons se sont intéressés les premiers à ce marché en développement.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Informatique

Cyber-risques & cyber- assurances

Virus, terrorisme informatique ; erreur humaine… les cyber-risques se multiplient. Peu à peu les entreprises prennent conscience des dangers encourus. Les assureurs anglo-saxons se sont intéressés les premiers à ce marché en développement.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »