La résilience face aux risques cyber est devenue un enjeu majeur de souveraineté dans de nombreux pays. Toutefois, ces risques demeurent encore relativement peu couverts, avec une proportion estimée à seulement 3 % des cotisations en assurance dommage des professionnels. En 2018, la taille du marché mondial de l’assurance cyber était évaluée à hauteur de 3 milliards de dollars. Le marché américain est actuellement le plus important alors que celui de l’Europe reste beaucoup plus limité. Dans cette optique, l’Autorité de contrôle prudentiel et de résolution (ACPR) encourage les assureurs à améliorer leur couverture des cyber-risques.
Le risque cyber est un enjeu majeur pour toutes les entreprises, car les cyberattaques sont de plus en plus fréquentes et sophistiquées. Elles peuvent causer des dommages financiers et juridiques et porter atteinte à la réputation de l’entreprise. C’est pourquoi il est essentiel pour les entreprises de prendre des mesures de protection contre ces menaces.
L’assurance cyber-risques est un contrat d’assurance qui permet aux entreprises de se prémunir contre les risques liés à l’informatique, tels que les pannes matérielles, les attaques de pirates informatiques, les pertes de données, les chantages informatiques, les fraudes en ligne, etc. En cas d’incident, cette assurance permet de compenser une partie des coûts occasionnés.
Identification, prévention et sensibilisation
Les assureurs ont un rôle crucial à jouer dans la prévention et la gestion des risques cyber, notamment en exigeant que les entreprises mettent en place des mesures de sécurité telles que l’installation de pare-feu, l’utilisation de logiciels antivirus et la formation des employés à la sécurité informatique. L’identification des actifs informatiques critiques, l’évaluation des vulnérabilités et la mise en place de mesures de sécurité font également partie des points clés d’un audit. Les employés jouent également un rôle important dans la prévention des attaques cybernétiques, ce qui rend crucial leur sensibilisation à la sécurité informatique et aux risques associés aux attaques cybernétiques.
Comme le souligne Thierry Piton, souscripteur expert en cyber-risques chez Axa Particuliers et IARD Entreprises, « en tant qu’assureur, nous intervenons comme deuxième ligne de défense pour nos clients, en prenant en charge les frais consécutifs et la perte d’exploitation subie par l’entreprise après une cyberattaque réussie. Nous jouons également un rôle central dans la gestion du risque cyber à travers trois piliers : prévention-assistance-indemnisation. De plus en plus, nous accompagnons nos clients pour les aider à constituer leur première ligne de défense et à s’assurer qu’elle est en phase avec l’évolution de la menace à travers une offre de services tels qu’un audit en cybersécurité, la mise en place d’un plan de reprise d’activité et des exercices de gestion de crise cyber. La collaboration entre les entreprises et les assureurs est essentielle pour prévenir et gérer efficacement les risques cyber, ce qui fait de nous un acteur clé dans la prévention et la gestion de ces risques. »
Enjeux et conformité réglementaire
Avec l’essor des technologies numériques, les entreprises sont confrontées à des menaces croissantes pour la sécurité de leurs systèmes d’information. Les attaques cybernétiques, en particulier les rançongiciels, peuvent causer des pertes financières importantes. Les entreprises doivent donc prendre des mesures pour protéger leurs systèmes et données.
Cependant, la cybersécurité n’est pas seulement une question de protection contre les attaques, c’est également une obligation légale. En effet, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) oblige les entreprises à protéger leurs systèmes d’information contre ce type d’attaques. De plus, un nouvel article du Code des, consacré à l’assurance des risque cyber et entré en vigueur le 25 avril 2023, conditionne l’indemnisation des pertes et dommages subis par l’assuré à la suite d’une cyberattaque à un dépôt de plainte auprès des autorités compétentes dans les 72 heures suivant la découverte de l’atteinte.
En outre, les entreprises ont l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) toute violation de données à caractère personnel dans les 72 heures suivant la découverte (Article 33 du Règlement général sur la protection des données, RGPD). Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose également de le notifier.
Pour aider les entreprises à respecter ces obligations légales et à se protéger contre les risques croissants de cyberattaque, les assureurs proposent des solutions d’assurance cyber-risques. Ces solutions fournissent des informations sur les modes opératoires pour porter plainte, les bonnes pratiques pour préserver la preuve numérique et une aide à la rédaction de la notification Cnil. Les entreprises doivent prendre en compte l’importance de la cybersécurité et des assurances cyber-risques pour se protéger contre ces risques croissants et respecter les obligations légales.
Couverture et accompagnement
L’assurance offre une protection cruciale pour les entreprises confrontées aux menaces de cyberattaques. Les pirates informatiques causent en effet des pertes financières importantes et des dommages à la réputation de l’entreprise. Ainsi, cette assurance est devenue essentielle pour aider les entreprises à se protéger contre ces risques.
La couverture de l’assurance cyber-risques comprend trois volets. Tout d’abord, la gestion d’urgence est un aspect essentiel pour aider les entreprises à réagir rapidement en cas d’incident. Les assureurs peuvent fournir une assistance 24 heures sur 24 pour aider les entreprises à gérer l’incident et à minimiser les dommages. Ensuite, la prise en charge des dommages subis par l’assuré permet d’aider les entreprises à redémarrer rapidement après une cyberattaque. L’assureur peut couvrir les coûts liés à la restauration des données, à la reprise des activités, ainsi qu’aux pertes financières subies par l’entreprise. Enfin, la responsabilité civile est un autre aspect important de la couverture de l’assurance cyber-risques, car les entreprises peuvent être tenues responsables des dommages causés à des tiers à la suite d’une cyberattaque. L’assurance cyber-risques peut ainsi aider les entreprises à couvrir les coûts liés aux réclamations et aux poursuites judiciaires, ainsi qu’à protéger leur réputation.
En plus de la couverture, les assureurs peuvent également fournir des conseils aux entreprises pour les aider à se protéger contre les menaces cybernétiques. Ils peuvent aider les entreprises à comprendre les risques, à mettre en place des mesures de sécurité appropriées et à former leur personnel à la cybersécurité. Les assureurs aident aussi les entreprises à élaborer des plans de continuité d’activité pour minimiser les perturbations causées par une cyberattaque et à mettre en place des mesures de sécurité appropriées pour protéger leurs données et leurs systèmes informatiques.
Un large spectre d’impacts
Le risque cyber a des impacts économiques majeurs à l’échelle mondiale, estimés à plus de 10 000 milliards de dollars par an d’ici 2025. Pour les entreprises, les conséquences financières sont importantes en raison des frais engagés pour réparer le système d’information et des pertes d’exploitation pendant plusieurs semaines. En outre, cela peut avoir des conséquences réglementaires et mettre en cause leur responsabilité. Les impacts sont également susceptibles d’affecter la réputation de l’entreprise en cas de mauvaise communication.
L’intelligence artificielle a un impact à la fois positif et négatif sur la cybersécurité. D’une part, grâce au machine learning, elle permet d’améliorer la détection des incidents dans les entreprises. D’autre part, elle facilite l’automatisation des attaques de spear-phishing et la recherche de vulnérabilités, ainsi que la création de deepfakes pour les attaques d’ingénierie sociale et d’usurpation d’identité. Les nouveaux outils tels que ChatGPT peuvent également être utilisés par des attaquants néophytes pour mener des cyberattaques. De plus, le développement de l’Internet des objets et de la 5G augmente la surface d’attaque des organisations avec un grand nombre d’appareils. L’assurance cyber doit analyser la capacité de l’entreprise à faire face aux nouvelles menaces en sensibilisant les employés, en gérant les identités et les accès, en détectant les intrusions, etc.
L’assurance constitue donc un outil crucial pour protéger les entreprises contre les cyberattaques qui ne cessent d’augmenter. Elle joue un rôle dans la prévention et la gestion des risques cyber en exigeant que les entreprises mettent en place des mesures de sécurité et en offrant une couverture qui comprend la gestion d’urgence, la prise en charge des dommages subis et la responsabilité civile. Bien que le marché de l’assurance cyber soit encore restreint, il est devenu un enjeu majeur de souveraineté pour de nombreuses nations, et l’ACPR encourage les assureurs à améliorer leur gestion des cyber-risques. Enfin, la collaboration entre les entreprises et les assureurs est essentielle pour prévenir et gérer efficacement les risques cyber, faisant des assureurs des acteurs clés dans la prévention et la gestion de ces risques.
