Le baromètre des risques 2020 d’Allianz souligne que les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront prendre en compte d’ici 2030. L’anticipation de ces risques assurera un avantage concurrentiel et donnera une valeur ajoutée aux entreprises, à l’ère du numérique et du réchauffement climatique.
Les entreprises peuvent toutes être confrontées aux cyberattaques, qu’elles soient des grands groupes ou des TPE/PME. Piratage de site, usurpation d’identité, vol de données et de documents confidentiels, autant de menaces qui pèsent sur les sociétés. 73 % des attaques sont des ransomware (« rançongiciel » en français, ndlr), 91 % des offensives passent par les emails et 49 % d’entre elles impactent considérablement le business d’une firme, selon le sondage OpinionWay pour le CESIN (Club des experts de la sécurité de l’information et du numérique, ndlr). Face aux nouvelles menaces technologiques et aux attaques WannaCry et Petya, ayant infecté plus de 300 000 ordinateurs dans 150 pays différents en 2017, les entreprises optent pour une cyber-assurance afin de se protéger et être capable de contrer ces menaces.
Le marché de la cybersécurité devrait passer à 232 milliards de dollars en 2022, contre 138 milliards de dollars en 2017, selon MarketsandMarkets (firme mondiale d’études de marché et de conseil, ndlr). En cause, des menaces qui apparaissent constamment. L’Identity Theft Resource Center (association américaine qui apporte une assistance aux victimes et une éducation aux consommateurs sur les questions liées notamment à la cybersécurité et aux escroqueries, ndlr) a recensé plus de 1 091 violations de données en 2016 et 1 579 en 2017. Si la cyber-assurance est une chance de croissance pour les assureurs, elle offre également une garantie aux entreprises victimes, celle de pouvoir continuer leur activité.
Les cyberattaques, conséquences désastreuses pour les entreprises
Le « sondage OpinionWay pour le CESIN » a répertorié les attaques informatiques les plus courantes menées contre les entreprises. Dans 73 % des cas, c’est le « ransomware » (« rançongiciel », en français, ndlr) qui est utilisé. Il s’infiltre, la plupart du temps, à travers un fichier téléchargé ou reçu par email. Le logiciel chiffre et bloque les fichiers contenus sur l’ordinateur de la victime et demande une rançon en échange d’une clé permettant de les libérer.
L’attaque virale
L’attaque virale générale arrive en deuxième position avec 38 % des cas : ce sont simplement les virus, également dénommés malwares, qui se répandent entre ordinateurs souvent par e-mails, par des partages de fichiers et par le biais de sites internet. Et dans 30 % des situations, c’est une fraude externe : des individus piratent la boîte mail d’une entreprise ou d’un particulier pour récupérer leurs informations personnelles et usurper leur identité. Les conséquences peuvent se révéler graves et variées pour les sociétés.
D’abord, au niveau financier, avec des amendes et dommages-intérêts à verser ainsi que des investissements à mettre en œuvre pour restaurer et renforcer la sécurité informatique. Aux États-Unis, un vol de données personnelles coûte, en moyenne, 7,4 millions de dollars aux entreprises, selon l’enquête « Cost of Data Breach » du Ponemon Institute. Du côté des sociétés de l’Hexagone, cela représente plus de 3,5 millions de dollars. L’établissement français spécialisé dans la construction de bâtiments, Saint-Gobain, a perdu 220 millions d’euros de chiffre d’affaires à cause d’une cyberattaque au ransomware NotPetya en juin 2017.
L’image des firmes victimes peut aussi se dégrader avec une perte de confiance de la part des clients, investisseurs et partenaires commerciaux. Les attaques informatiques bouleversent le fonctionnement de l’entreprise enclenchant une paralysie de son activité, voire sa faillite. La PME Clermont Pièces, installée à Clermont-Ferrand et spécialisée dans l’électroménager, a ainsi été placée en liquidation judiciaire à la suite du piratage de l’ensemble de ses fichiers clients et fournisseurs, et de son incapacité à payer une rançon de 3 800 euros.
Une assurance qui apporte un soutien financier et une aide personnalisée
La cyber-assurance a pour but de protéger les entreprises d’une attaque informatique en leur apportant un soutien, mais aussi une indemnisation. Contrairement aux assurances classiques, elle garantit les conséquences financières dues à un acte de malveillance, une fraude, une erreur humaine, voire un virus. En complément, les assureurs peuvent payer les frais de notification suite à l’atteinte, au vol ou l’extraction de données personnelles et/ou confidentielles ainsi que des frais de gestion de crise pour la communication et la préservation de la réputation de la société. La cyber-assurance favorise la prévention pour réduire les dégâts mais aussi pour se former à d’autres attaques possibles : il s’agit de sensibilise les salariés et d’effectuer des audits de sécurité.
Les assurances
Les assureurs accompagnent également les entreprises à l’aide de plusieurs services afin de gérer une attaque. Des experts informatiques peuvent intervenir pour contenir les dangers et restituer des données. Des professionnelles de la communication pourront mettre en place des outils de veille sur l’e-réputation. Côté prix, le coût annuel d’une cyber-assurance varie de quelques milliers d’euros à plus de 100 000 euros, en fonction du chiffre d’affaires, du secteur d’activité et de la taille de l’entreprise.
La cyber-assurance peut ainsi se révéler une solution clé pour se défendre contre les cyberattaques. Mais pour se protéger en amont et réduire les risques, Alain Guède, directeur des systèmes d’information de Saretec (société d’expertise en assurance qui accompagne assureurs, entreprises et particuliers dans la gestion de leurs risques, ndlr) suggère trois manières de réduire le danger. Tout d’abord, il faut mettre en place, dans l’entreprise, un programme de gestion des patchs (logiciels qui déploient à distance les mises à jour des serveurs, ordinateurs et applications, ndlr) pour que les failles soient réparées plus rapidement.
Ensuite, la société doit instaurer des parcs informatiques identiques (ensemble des ressources matérielles et logicielles qui composent un système informatique comme les postes de travail, les unités centrales et le Cloud, ndlr) pour éviter de ralentir la diffusion des patchs. Enfin, il faut instaurer une politique de « sandbox » (« bac à sable en français », ndlr), dispositif informatique qui crée un environnement contrôlé à l’intérieur d’un ordinateur hôte et dans lequel peut s’exécuter un programme sans avoir aucune influence sur la machine. Ce logiciel pourra, par exemple, vérifier les mails à la place des utilisateurs pour se débarrasser de potentiels virus.