Ransomware, hacking, virus. Les attaques malveillantes visant des sociétés et des institutions financières se multiplient. En 3 mois, les entreprises ont investi plus de 124 milliards pour se protéger contre les risques de cybercriminalité. Mais elles n’ont pas toutes les moyens d’enrôler des armées d’experts en «cybercrime». Reste la possibilité de s’assurer contre ces nouveaux risques. Décryptage avec Stéphanie Pierret, responsable Financial Lines chez B.C.D.T.

Juin 2017, Mondelez est victime de la cyberattaque planétaire NotPetya qui paralyse de manière permanente une partie de son parc informatique. Elle estime le montant des préjudices à 100 millions de dollars US. Zurich refuse d’indemniser le groupe alimentaire. L’argument de l’assureur: l’exclusion «d’actes hostiles ou guerriers». Mondelez a porté le cas devant les tribunaux. «Dans ce cas, le litige ne porte pas sur une assurance cyber mais sur un contrat Property (Choses)», explique Stéphanie Pierret. Les assureurs sont inquiets de leur exposition non-désirée aux cyber-risques dans des contrats d’assurance classiques. Les assurances cyber couvrent principalement des dommages non tangibles, contrairement aux assurances portant sur les objets matériels. Des nouvelles extensions hardware commencent à voir le jour dans les polices cyber, mais il reste encore des zones d’ombre.

A l’évocation des cyberattaques, nous imaginons des activités en ligne paralysées, mais aussi, comme on a pu le constater avec Wannacry, des chaînes de productions bloquées. Ces risques concernent toutes les industries. Certains dégâts sont plus difficilement quantifiables, comme les vols de données confidentielles. Selon Ernst & Young, entre 2017 et 2018, près de 2 milliards de données sensibles ont été compromises. «Les assurances ne vont pas couvrir le dommage d’image, mais bien les frais relatifs à l’identification des dispositions légales applicables, à la mise en place d’un call center visant à informer les personnes concernées ou encore les frais de communication dans la presse», relève Stéphanie Pierret. Lors de piratage de numéros de cartes de crédit, les assurances peuvent couvrir la mise en place de mécanismes visant à surveiller pendant deux ans toutes activités suspectes pour empêcher des transactions frauduleuses sur le darkweb, où les pirates revendent ce type de données subtilisées.

Avec la RGPD (Règlement général sur la protection des données), on ne badine pas avec les informations sur ses utilisateurs, comme Google en a fait l’expérience. En 2019, la GAFA a été condamnée à payer une amende exemplaire de 50 millions d’euros. «Les entreprises peuvent être amendées jusqu’à 4% de leur chiffre d’affaires. Cela peut également être pris en charge par les contrats d’assurance cyber, même si l’assurabilité des amendes civiles fait l’objet de débats», explique Stéphanie Pierret. 

Les assurances contre les fraudes existent depuis très longtemps, allant de la fraude des employés jusqu’à celles des tiers, en passant par les faux dans les titres. Avec l’évolution des technologies, les assurances cyber ciblent de nouvelles menaces que toutes les entreprises considèrent aujourd’hui comme importantes. «Il y a une distinction entre les grandes sociétés et les PME. Pas mal de banques sont déjà assurées. Pour les PME, on est encore au début de l’aventure». Avec des produits d’entrée de gamme allant de 700 à 800 francs par année, elles peuvent se protéger comme les grandes sociétés. Au-delà d’actes malveillants des pirates informatiques, les cybers assurances couvrent également les incidents des employés quelques peu distraits. Selon la dernière étude EY Global Information Security Survey, 6,4 milliards d’emails frauduleux sont envoyés quotidiennement: «La faille humaine reste le plus grand risque», souligne la spécialiste qui cite l’exemple de l’employé qui publierait malencontreusement des données sensibles sur le site internet de l’entreprise au lieu de l’intranet, ou qui oublierait une clef USB hautement confidentielle dans le train Lausanne-Genève.