En raison de ses impacts majeurs, le risque numérique ou risque cyber est désormais le risque plus redouté des entreprises et des assurances. En effet, de plus en plus nombreuses et protéiformes, les cyberattaques sont redoutables d’efficacité. Face à leur diversité, les compagnies d’assurances réagissent puisqu’on assiste à une diminution significative des couvertures offertes ainsi qu’à une augmentation des tarifs et franchises proposées. Par conséquent, les entreprises rencontrent de plus en plus de difficultés à se protéger. Il est donc recommandé de passer par le biais d’un intermédiaire, à savoir un courtier d’assurance et de se renseigner sur les principes fondamentaux de ces assurances cyber.
Questions-réponses avec notre référent et spécialiste en termes d’assurance-cyber, Grégoire BAYVET.
Quelles sont les conséquences d’une attaque-cyber ?
Grégoire Bayvet : Parmi les principaux risques courus par une société industrielle et commerciale, on peut notamment citer l’arrêt des systèmes d’informations qui gèrent l’activité de la société. En effet, dans ce dernier cas, cela peut conduire à une impossibilité temporaire de produire ou livrer les biens ou services qu’elle propose habituellement et ce, sur un plus ou moins long terme selon la panne rencontrée. Cette interruption totale ou partielle de l’activité n’est pas sans conséquence puisque cela se répercute ensuite nécessairement sur le chiffre d’affaires. On parle alors de perte d’exploitation.
Existe-t-il un lien entre l’émergence du télétravail ces deux dernières années et l’augmentation du risque de cyber attaques ?
Grégoire Bayvet : Force est de constater qu’il existe un lien indéniable entre la résurgence du risque cyber et l’émergence du télétravail lié à la crise sanitaire ces dernières années. En effet, nul n’est censé ignorer que le travail à distance, s’il offre de nombreux avantages, présente également ses limites en termes de sécurité puisque, malheureusement, les sécurités informatiques sont souvent plus faibles que sur le lieu de travail habituel. Cela s’explique notamment par le fait que les responsables sécurité informatique ne peuvent, en travaillant de chez eux également, exercer le même contrôle régulier, retrouvé en principe avec le travail en présentiel.
Cette baisse du niveau de vigilance créé des failles au sein des systèmes d’information, failles dans lesquelles les hackers se hâtent de s’infiltrer afin de récupérer des données ou d’usurper l’identité de cadres supérieurs, de dirigeants ou de directeur général en vue d’extorquer des fonds (« fraude au faux président »).
Ainsi, quand bien les même les conséquences de la fraude et du risque cyber sont totalement différentes, en réalité ces deux faits sont étroitement liés. Par conséquent, il est vivement recommandé de souscrire une police d’assurance en vue de se protéger des deux risques.
Quels sont les différents types de cybercriminalité ?
Grégoire Bayvet : Le hacker qui procède à une cyberattaque poursuit très souvent un objectif de gain, à savoir l’obtention d’une rançon en contrepartie d’un recouvrement du système informatique ou des données, ou encore la revente de données volées suite à son infiltration dans les systèmes informatiques de la société.
Si plusieurs techniques de hackage existent, la plus répandue reste toujours celle de l’envoi d’un mail accompagné d’une pièce jointe ou d’un lien internet. Dans la mesure où, le plus souvent, le mail est indiqué comme émanant d’une société connue, le collaborateur destinataire du courriel ouvre le lien ou la pièce jointe : cela génère alors l’intrusion du virus au sein du système d’information, ce qui va venir crypter les données et entrainer leur paralysie. Afin de retrouver l’utilisation de ses données, l’entreprise victime de la cyberattaque est alors malheureusement contrainte de verser une rançon. Mais les hackers, en sus de bénéficier de cet argent, peuvent également toucher une autre somme grâce à la revente sur le darknet des données personnelles volées. Ils peuvent donc se rémunérer de deux manières.
Quelle est la marge de progression des entreprises afin de réduire ce risque ?
Grégoire Bayvet : Le métier de courtier nous permet de constater que le facteur humain est extrêmement important dans la gestion du risque puisque c’est par la réception et le traitement d’un courriel que l’attaque débute. A ce titre, il est donc primordial de former et sensibiliser les professionnels à ce sujet, et cela inclut notamment l’envoi de faux emails suspects afin d’identifier et de comptabiliser le nombre de personnes ouvrant ce type de message mais également de suivre dans la durée l’intégration des gestes de sécurité. Autrement dit, si le nombre de personnes ouvrant ces faux emails suspects diminue, cela signifie que la sensibilisation à la cyberattaque progresse.
A côté de cette technique d’envoi de faux courriels suspects, il est parfois procédé au fait de laisser une clé USB corrompue au sein d’un open-space ou à l’accueil de la société. Il s’agit ici de partir du principe qu’une personne va récupérer la clef pour en regarder le contenu. Cette technique est très souvent utilisée par les hackers qui peuvent, dès lors que la clé est insérée dans l’ordinateur, compromettre ce dernier en y transmettant un virus. Pour toutes ces raisons, il est coutume que dans un certain nombre d’entreprises, les clés USB non sécurisées ne soient plus admises sur des ordinateurs professionnels.
S’il existe d’autres techniques de prévention, il est néanmoins fortement recommandé de se rapprocher de professionnels en vue de la réalisation d’un audit de la structure informatique et ce, afin d’identifier les éventuelles failles informatiques ou humaines mais également pour mettre en place des programmes de sensibilisation afin de réduire au maximum la contribution de l’humain aux risques cyber.
Comment mesurer la prégnance du risque cyber actuellement ?
Grégoire Bayvet : Aujourd’hui, force est de constater que la menace et le risque cyber sont pleine croissance comme en témoignent les rapports publiés à travers le monde par des assureurs, experts informatiques ou encore des professionnels de la sécurité. Le risque zéro n’existe plus et la diversité des menaces a pour conséquence qu’aucune société n’est épargnée. Quelle soit leur taille ou leur activité, toutes les entreprises peuvent être la cible de cyber attaque. Dès lors, il est bon de prendre conscience de la réalité du risque et d’en saisir les éventuelles conséquences et enjeux.
A ce titre, lors de son entrée en vigueur en mai 2018, le RGPD a donné un coup de pouce à la publicité du risque cyber, tout comme le devoir de notification en cas d’atteinte aux données et les couts associés (frais de notification, et actions en responsabilité). Cela a permis de faire prendre conscience à bon nombre d’entreprises de l’exposition généralisée ainsi que de l’augmentation de ces frais.
En réalité, aujourd’hui on sait que ce qui coûte cher, ce n’est pas tant les frais de notification mais plutôt ceux liés à la gestion de la crise : arrêt de la contamination des systèmes, nettoyage et remise en marche de ces derniers, reconstitution des données et compensation de la perte d’activité liée à l’arrêt plus ou moins long des systèmes d’information. A ces frais, il faut également ajouter les éventuelles actions en responsabilité engagées par des tiers dont les données auraient été volées ou utilisées à leur insu.
Quels sont les principales garanties d’une couverture cyber ?
Grégoire Bayvet : Les garanties d’une couverture cyber sont multiples. Si elles peuvent varier d’un contrat à l’autre ou d’une compagnie à une autre, la plus importante reste l’assistance offerte. En effet, lorsqu’une attaque a lieu, il est souvent très difficile pour les entreprises d’arriver à stopper en interne l’hémorragie, faute de personnel compétent à cet égard. Or, grâce à une couverture cyber, les dégâts peuvent être largement amoindris, qu’ils soient financiers, matériels ou encore sous forme d’indisponibilité des systèmes.
Mais une couverture cyber permet également de prendre en charge différents frais générés par l’attaque : des frais d’honoraires d’experts informatiques ou en communication de crise, aux frais de récupération des données ou de communication RGPD, la couverture vient couvrir une part non négligeable de coûts, y compris le remboursement de rançon ou le dédommagement de fraudes téléphoniques, etc. Elle constitue donc un véritable rempart en cas d’attaque notamment lorsque l’on sait que, si rien n’est fait pour limiter cette dernière, les frais peuvent facilement atteindre les plafonds de garantie.
Enfin, il est intéressant de noter certaines options de formation et/ou sensibilisation des équipes aux risques cyber sont parfois intégrées aux contrats de compagnies, tout comme la réalisation d’audits pour bénéficier de structures informatiques plus fiables et sécurisées.
Quelles entreprises ont le plus intérêt à s’assurer ?
Grégoire Bayvet : Recourir à une assurance cyber sera indispensable pour une PME. En effet, si les grands groupes sont plus à même à absorber les conséquences financières d’une cyber attaque, à l’inverse ces coûts peuvent être vitaux pour des PME et mettre alors en jeu leur survie, d’autant plus si la PME bénéficie d’une trésorerie limitée ou si l’interruption de l’activité la prive de revenus nécessaires à son fonctionnement. Grâce à une assurance cyber, le risque financier est transféré à un tiers de manière à éviter que l’entreprise ne supporte ce risque sur son bilan.
Mais les PME sont aussi les entreprises les moins assurées ?
Grégoire Bayvet : En effet. Beaucoup plus exposées et vulnérables en raison de leur niveau de sécurité trop souvent insuffisant, les PME restent, malgré tout, les entreprises les moins assurées. Cela s’explique par le fait qu’elles pensent, à tort, que ce sont principalement les grands groupes qui sont la cible de cyber attaques.
Mais cela est en train de changer puisque l’on assiste aujourd’hui à une demande croissante d’assurance émanant des PME, très certainement car ces sociétés prennent conscience de leur exposition et des conséquences éventuelles liées à une telle menace.
Néanmoins, certaines difficultés persistent. En effet, bon nombre d’assureurs exigent des prérequis de plus en plus nombreux, à savoir des mesures de prévention et de protection devant déjà avoir été mises en place. Or, cela est rarement le cas pour des PME et l’assureur refuse alors la couverture, considérant que le risque est trop fort. Il est alors nécessaire, pour l’entreprise qui souhaite être assurée, d’améliorer dans un premier temps son niveau de protection afin de bénéficier par la suite du marché de l’assurance.
Comment juger actuellement l’offre cyber ?
Grégoire Bayvet : L’offre cyber se maintient et existe toujours. Néanmoins, il est vrai qu’elle est moins présente qu’avant et que son accès est désormais plus compliqué. En effet, il y a aujourd’hui beaucoup moins d’acteurs sur le marché qu’avant et ceux qui y sont toujours réduisent leurs capacités ou considèrent uniquement des interventions « en excess ». Par conséquent, il y a évidemment moins de possibilités pour une intervention en première ligne. Aujourd’hui, le plafond de couverture est compris entre 5 et 10 millions, contre 15 à 20 millions il y a encore quelques années.
De plus, on assiste à une augmentation des franchises. Puisque les assureurs prennent conscience des coûts qui peuvent être amenés à supporter en raison de la croissance du risque, ils conditionnent alors leur participation à des montants de franchise plus élevés que par le passé. Cette hausse des franchises se répercute sur les assurés.
Enfin, un troisième niveau de corrections concerne la majoration des tarifs. La sinistralité actuelle et à venir est telle que s’assurer en cyber coûte de plus en plus cher. Or, aujourd’hui les assureurs ne disposent pas de volumes de primes suffisantes pour y faire face.
Au sein du cabinet BAYVET & BASSET, nous mettons à votre disposition, des solutions adaptées et sélectionnées auprès de nos partenaires assureurs. Contactez-nous pour un devis chiffré !