Avec l’extension de la numérisation, la cybermenace fait désormais partie de notre quotidien. Les entreprises doivent ainsi jongler entre primes d’assurances encore peu abordables et prévention pour mieux se protéger. Réduire les failles de sécurité pourrait rassurer tout le monde.
Les cyberattaques, une réalité aujourd’hui
Avec un nom digne des meilleurs romans de science-fiction, les cyberattaques défrayent aujourd’hui la chronique avec ces demandes de rançon new look.
Qu’on les appelle déni de service, attaque teardrop, smurf, ping de la mort, botnets, usurpation d’IP ou phishing, les cyberattaques sont des infections malveillantes des systèmes informatiques des entreprises comme des particuliers.
Les motivations des hackeurs, ceux qui manipulent les systèmes informatiques, sont très variées : vengeance personnelle, envie idéologique d’empêcher de fonctionner une entreprise, volonté de déstabiliser un État pour le compte d’un autre État ou d’une multinationale…
Généralement, les pirates profitent d’une faille dans le système d’exploitation pour introduire un virus ou un cheval de Troie : l’objet est de prendre le contrôle du système informatique visé et/ou d’accéder à toutes ses données.
En 2020, en pleine crise du covid, 27 hôpitaux ont été touchés par des cyberattaques. Il s’agissait souvent de bloquer l’accès aux dossiers médicaux des patients, en échange d’une rançon pour les débloquer.
Cibles faciles, les services hospitaliers manquent de moyens financiers qu’ils consacrent en priorité au matériel médical et au personnel, plutôt qu’à la cybersécurité.
De manière plus générale, avec le développement du travail à domicile, la pandémie a rendu certaines entreprises très vulnérables, en ouvrant la porte aux échanges avec leurs collaborateurs à l’extérieur.
Des entreprises encore mal protégées
La numérisation de l’économie avance à grands pas. L’introduction des technologies du numérique transforme fondamentalement notre quotidien, sans qu’on en maîtrise vraiment toutes les conséquences.
Internet, les téléphones mobiles, les réseaux sociaux, le commerce en ligne sont autant de révolutions récentes dont nous n’avons pas encore mesuré la portée réelle.
L’économie numérique impacte de manière transversale tous les secteurs de l’économie. Elle s’impose comme un vecteur incontournable de croissance de la productivité et de la compétitivité des entreprises et des pays.
Mais, revers de la médaille, ce recours omniprésent au numérique a créé de nouvelles dépendances et donc une certaine fragilité pour l’économie. La circulation permanente des données pose la question de leur confidentialité et de leur intégrité.
Aujourd’hui, la manipulation de ces données ouvre la porte à des erreurs humaines, mais aussi à des actes malveillants qui peuvent remettre en cause leur disponibilité et leur crédibilité.
La rapidité de la transition vers le monde numérique a, hélas, laissé trop peu de temps aux entreprises pour réellement mesurer l’étendue de leur exposition au risque cyber. La multiplication des cyberattaques de nos jours en est une preuve tristement concrète.
Mais l’explosion des réseaux, d’internet et de la communication par emails rendent encore plus complexe une réponse rapide et efficace pour se protéger.
De nos jours, de très nombreuses entreprises sous-estiment les conséquences potentielles des cyberattaques sur leurs activités. Pourtant, selon certaines enquêtes, 60 % des PME ayant subi une cyberattaque ferment dans les 6 mois qui suivent. Et près d’un tiers de ces PME ont choisi de prendre le risque face à des primes d’assurances qu’elles jugent trop élevées.
L’assurance contre le risque cyber se cherche encore
Assureurs et réassureurs craignent les cyberattaques. Depuis 5 ans, ils les considèrent même comme la principale menace pour leur profession, devant le risque climatique. (Voir à ce sujet, notre article : « Les cyberattaques, principale menace pour les assureurs »).
Manquant cruellement de données, donc de recul, la profession évalue mal ce risque protéiforme et évolutif qui pourrait avoir des conséquences systémiques. Difficile dans ces conditions de chiffrer sereinement des garanties de couverture contre un risque compliqué à mutualiser.
En 2021, le marché du risque cyber n’a représenté en France que 3,1 % de l’assurance professionnelle des dommages aux biens.
En septembre dernier, est sorti un rapport public, fruit d’un an de travail et de concertation entre les services de l’État, les entreprises, le compagnies d’assurance et des experts. Il en ressort que pour développer une offre assurantielle de couverture des risques cyber, les participants jugent nécessaire de travailler sur plusieurs axes.
En premier lieu, une clarification du cadre juridique de l’assurance du risque cyber. D’un côté une meilleure rédaction des clauses contractuelles devrait permettre de clarifier la couverture réelle de ce risque. Les assurés ne peuvent qu’approuver de mieux cerner l’étendue de leur couverture.
Car, aujourd’hui, les garanties cyber dans un contrat relèvent aussi bien des dommages aux biens, que des pertes pécuniaires ou de la responsabilité civile. Les assureurs préconisent donc de créer une nouvelle catégorie dans le code des assurances. Sans une catégorisation claire, il n’y a pas d’identification claire du risque cyber, et donc pas de pilotage précis du risque.
De même, conditionner l’assurabilité des cyber-rançons au dépôt préalable d’une plainte permettrait de renforcer la lutte contre ces demandes de rançons, tout en permettant aux assureurs d’indemniser les victimes..
Autre axe de travail proposé : favoriser une meilleure mesure du risque cyber. Il s’agirait notamment de prendre en compte le risque cyber au cours de l’exercice d’évaluation interne des risques et de la solvabilité (ORSA).
L’intégration de scénarii de stress réalistes, y compris pour des attaques de très grande ampleur, permettrait de mieux tester les impacts prudentiels en termes de fonds propres et de liquidité.
Il s’agit de faciliter le calcul des cotisations d’assurance cyber et d’attirer de nouveaux clients avec des prix plus adaptés.
Enfin, un effort de sensibilisation des entreprises au risque cyber doit non seulement atteindre le tissu économique local, y compris des PME, mais aussi renforcer la formation des professionnels de l’assurance.
A noter que, l’année dernière, l’Institut Universitaire de Technologie de La Réunion intégrait, dans ses formations courtes, un diplôme intitulé cyberattaque cyberdéfense.
