Le marché de la cyberassurance est né aux États Unis. Certains États américains imposent depuis plusieurs années aux entreprises de déclarer (on parle de notification) les vols de données (Data Breach) aux autorités de protection des données personnelles (les CNIL locales) ainsi qu’aux personnes concernées (celles dont les données ont été dérobées) dans des délais très stricts et dans des formes spécifiques (par lettre ou, si le nombre de personnes concernées n’est pas connu, par information dans les médias).
En France, ce marché est plutôt jeune et les acteurs de l’assurance américains ont dupliqué les contrats existants outre-Atlantique. Les premiers contrats d’assurance cyber sont apparus en 2009 ; depuis cette date, le nombre d’acteurs et de produits a beaucoup évolué. À ce jour, le marché français est composé de plus de 15 assureurs tels que Chubb, AIG, ZURICH, Beazley, CNA Hardy, Hiscox… Chacun propose entre 10 millions d’euros pour la plus faible capacité et jusqu’à 100 millions d’euros par dossier. À ce jour, la capacité affichée par l’ensemble des assureurs sur le marché français oscille entre 300 et 500 millions d’euros.
Des expositions à quels risques ?
Les risques qui doivent être identifiés par les entreprises pour appréhender leurs expositions aux cyber-risques relèvent de trois grandes catégories.
1. Un risque d’atteinte aux données : qu’il s’agisse de données à caractère personnel (fichier du personnel, fichier client, coordonnées bancaires) où de données confidentielles (informations autres que des données personnelles, pour lesquelles l’entreprise est tenue à l’égard d’un tiers au respect d’une obligation de confidentialité et qui sont conservées sur un système informatique détenu ou contrôlé par l’entreprise et dont elle est responsable), le vol de données est un des grands fléaux de notre siècle, à l’heure où l’information circule par mail ou sur Internet à très grande vitesse.
Toute entreprise est responsable vis-à-vis des tiers et des autorités de contrôle (telle que la CNIL en France) de la violation de la confidentialité des données et devra engager des frais (obligation légale dans certains pays comme les Etats-Unis, et bientôt en Europe, après l’adoption du Règlement européen relatif à la protection des données fin 2015) afin d’informer les personnes concernées qu’elle a failli à son obligation de respecter la confidentialité des données, même si l’entreprise a été victime d’un pirate informatique.
2. Un risque d’atteinte au système informatique qui peut résulter soit d’un acte de malveillance externe (un tiers, généralement un pirate informatique, peut s’introduire dans les systèmes d’information de l’entreprise, interrompre ou utiliser illégalement ceux-ci), soit d’une malveillance interne (un employé va dévoiler son mot de passe ou ne pas le maintenir secret, introduire une clé USB infectée…).
L’entreprise dont le système informatique est paralysé par une attaque ne peut plus produire, ni envoyer de mail, n’a plus accès à ses logiciels d’exploitation. La perte de chiffre d’affaires est quasi immédiate et des frais devront être engagés pour identifier l’origine de la faille qui a permis l’intrusion dans le système. Puis d’autres coûts viendront s’y ajouter, pour restaurer le système ou le décontaminer.
3. Enfin, il ne faut pas non plus négliger le risque d’extorsion de fonds.
Après s’être introduit dans les systèmes informatiques d’une entreprise, le pirate informatique va crypter des données stratégiques (cryptolocker) et demander une rançon, ou verrouiller une ou plusieurs applications. L’entreprise devra soit faire appel à des prestataires spécialisés en cryptographie, soit verser la rançon pour récupérer ses données.
Pour mesurer ces risques, les entreprises procèdent généralement à une cartographie des risques informatiques et cyber. Il s’agira à la fois d’identifier les scénarios propres à l’entreprise, mais également de les quantifier, c’est-à-dire de mesurer l’impact financier. Le rapport bi-annuel du « Joint Committee of the European Supervisory Authorities » d’août 2014 a mis en exergue la nécessité d’évaluer ces risques et d’en mesurer leurs conséquences (page 16), tout en indiquant que des solutions assurantielles étaient disponibles.
Un sujet de corporate governance
En 2009, alors que peu d’entreprises étaient assurées, beaucoup d’entre elles avaient le sentiment de l'être déjà pour ce risque dans leurs contrats d’assurance existants. De nombreuses études ont été menées depuis lors. Plusieurs appels d’offres ont également été lancés par les grands groupes. On constate ainsi que le taux d’équipement en cyberassurance des sociétés augmente d’année en année. À titre d’exemple, fin 2015, alors que 20 % des entreprises du CAC 40 ont souscrit des contrats cyber, 19 % étaient toujours en cours de réflexion sur un transfert à l’assurance du risque cyber.
Les directions générales des groupes ont pris conscience du risque et de leurs conséquences sur le bilan de leur société. Les cyber-risques ne sont plus limités à une préoccupation purement informatique (on est loin des discussions qui tournent autour d’un pare-feu ou d’un antivirus !), il s’agit aujourd’hui d’un sujet de corporate governance. Les dirigeants des entreprises sont responsables de la sécurité non seulement physique mise en place dans l’entreprise, mais également logique, qui vise la protection des systèmes d’information – et donc des données, qui doivent être considérées comme le patrimoine informationnel de l’entreprise. Se prémunir des cyberattaques, c’est protéger son bilan !
Les agences de notation internationales ont d’ailleurs pris toute la mesure du phénomène dans le secteur financier. Celles-ci se sont en effet également positionnées sur l’exposition aux cyber-risques des entreprises du secteur bancaire. Dans une note du 28 septembre 2015, Standard & Poor’s a indiqué qu’une attaque cyber peut affecter le rating d’une banque. L’agence de notation estime en effet que la faiblesse de la sécurité informatique est un risque émergent qui, potentiellement, aura pour conséquence d'entraîner une baisse de rating. Les deux cas précis envisagés par S&P pour dégrader une banque sont :
- (i) le manque de préparation : la banque est mal préparée à résister à une cyberattaque ;
- (ii) l’impact sur les fonds propres causé par les conséquences d’une cyberattaque : analyse des conséquences significatives sur la réputation de la banque tels que la perte importante de clients, ou les impacts financiers ou juridiques.
Trois volets de garanties
Les contrats d’assurance cyber sont des contrats spécifiquement conçus pour répondre aux conséquences des cyber-risques, offrant des couvertures dédiées aux conséquences des dommages immatériels.
Les garanties offertes sont généralement divisées en trois volets.
1. Un volet Assistance et gestion de crise qui a pour but d’assister le client depuis les premières heures de la crise jusqu’à la fin de l’incident. Seront ici pris en charge par l’assurance, les honoraires d’une société de sécurité informatique (forensics) qui va rechercher les causes de l’attaque (type d’attaque, conservation des preuves, mesures à prendre pour stopper l’attaque et y remédier), mais aussi les frais d’avocat pour préserver ses droits et répondre aux obligations législatives ou réglementaires qui pèsent sur l’entreprise (notification aux autorités de contrôle et aux autorités de protection des données personnelles), les honoraires des sociétés de relations publiques qui vont conseiller l’entreprise sur la meilleure stratégie de communication à adopter pour communiquer sur l’incident, les coûts de mise en place d’une hotline ainsi que les frais de reconstitution des données.
2. Un volet Responsabilité civile qui a pour but de prendre en charge les conséquences pécuniaires de la responsabilité civile de l’entreprise vis-à-vis des tiers et des autorités (frais de défense, mais également indemnités réglées). Les entreprises, bien que victimes d’une attaque, en sont aussi responsables vis-à-vis des tiers (clients par exemple) et devront répondre des fautes, négligences ou erreurs commises dans la sécurité du système d’information qui a permis l’attaque ou le vol de données.
3. Un volet Dommage qui viendra compléter les garanties déjà décrites et qui a vocation à couvrir les conséquences sur l’entreprise elle-même. Il s’agit ici non seulement des pertes d’exploitation, mais aussi de tous les frais supplémentaires d’exploitation auxquels l’entreprise devra faire face, en cas d’attaque par déni de service par exemple. Relève également de ce volet la garantie Cyberextorsion. En 2015, de nombreuses entreprises ont été victimes du ransomware Dridex qui avait pour conséquences de chiffrer (crypter) les données de l’entreprise après qu’un salarié a cliqué sur un fichier anodin (dans le cas précis, une facture jointe à un mail). Une fois les données cryptées, une demande de rançon était adressée ou s’affichait à l’écran avec, dans certains cas, un ultimatum pour régler.
2015 a été une année décisive s’agissant de ce cyber-risque qui prend de plus en plus d’ampleur. L’Europe a joué un rôle déterminant :
- annulation du Safe Harbor en octobre 2015 ;
- vote de la Directive sur la sécurité des réseaux et de l’information (Network and Information Security – NIS) le 8 décembre ;
- vote du très attendu Règlement européen relatif à la protection des données personnelles en décembre également.
