Assurance cybercrime

Cyberattaques : un risque sans frontières sous-estimé

Le développement fulgurant des technologies de l’information et de la communication a favorisé des opportunités de croissance sans précédent, mais a aussi engendré son lot de risques. Virus informatiques, phishing, attaques par déni de service : les armes des cyber-activistes et cybercriminels sont aussi variées que dangereuses. Souvent utilisées pour des tentatives d’extorsion d’argent, elles frappent aussi bien les particuliers que les sociétés.
 

La Suisse une cible des attaques informatiques avancées 

La cybercriminalité affiche des statistiques vertigineuses (lire l’encadré). La Suisse figure en troisième position des pays européens les plus ciblés par des attaques informatiques avancées et ciblées (APT), derrière l’Allemagne et le Royaume-Uni, dans le classement dressé par le FireEye Advanced Threat Report, et au septième rang mondial.
 
Des facteurs tels que les services informatiques de stockage de données via le cloud, le BYOD («bring your own device») pratiqué par de plus en plus d’employeurs qui proposent à leurs salariés d’utiliser leur propre équipement au travail, contribuent encore davantage à la vulnérabilité des entreprises. Les smartphones, tablettes, ordinateurs portables et périphériques de stockage personnel sont souvent porteurs de virus et de failles.
 
Les employés seraient les premiers responsables des incidents de sécurité. Ils compromettent involontairement les données de leur entreprise en perdant leurs portables ou en étant la cible de phishing. Selon une étude de la société Norton, 49% des employés interrogés utilisent leur équipement professionnel pour un usage privé, 36% évoquent l’absence de règlement à ce propos dans l’entreprise et 30% laissent leurs enfants se servir de leurs appareils de travail, que ce soit pour jouer ou effectuer des achats.

Combien coûte une cyberattaque ?

C’est la continuité même de l’entreprise, voire sa pérennité qui est en jeu avec un impact financier pouvant être conséquent. Une première série de dépenses est en général nécessaire pour déterminer la cause du problème, l’étendue des dégâts et colmater la faille. Selon la taille de l’entreprise et son exposition boursière, des frais de communication et de relations publiques seront aussi nécessaires pour préserver son image.
 
En cas de fuite de données personnelles de clients, les entreprises peuvent être assujetties, en fonction du pays, à une obligation de notification de l’incident aux autorités locales et aux personnes concernées, et ce le plus rapidement possible. C’est le cas pour la quasi-totalité des Etats américains et pour de nombreux pays qui possèdent des réglementations similaires. En Suisse, la loi fédérale sur la protection des données (LPD) oblige les entreprises à prendre des mesures de sécurité adaptées à la nature des données et aux risques liés à leur traitement, sachant que le recours à un prestataire ou sous-traitant ne les décharge pas de leur responsabilité en cas de faille de sécurité.
 
Les pertes économiques consécutives à un vol de propriété intellectuelle sont  particulièrement complexes à évaluer. Pour des produits technologiques, il est probable que le laps de temps entre le délit et la production se mesure en années. Le concessionnaire automobile à qui on a volé des voitures sait exactement ce qu’il a perdu, alors que le fabricant automobile à qui un projet de nouveau modèle a été piraté, peut ne pas savoir qu’il a été piraté jusqu’à ce qu’un concurrent lance un modèle similaire au sien. Les assureurs sont par conséquent souvent réticents à l’idée d’offrir une couverture contre ce type d’atteintes à la propriété intellectuelle.
 
Dans un environnement cyber en constante mutation, l’augmentation récente de la fréquence et de la gravité des cyberattaques induit un autre risque : celui de voir les dirigeants eux-mêmes être recherchés en responsabilité en cas d’inactions ou de lacunes, comme démontré par les affaires Target, Wyndham ou Home Depot aux Etats-Unis.
Même si ce marché n’est pas encore mature, des solutions d’assurance dédiées aux risques «cyber» sont apparues aux Etats-Unis et gagnent l’Europe. Les assureurs ont encore des difficultés à quantifier ces risques de par l’absence de recul d’historique sinistre, l’évolution rapide du type et du nombre de cyberattaques, ainsi que les enjeux financiers associés.

Aperçu

Phishing

Méthode de hacking consistant à imiter l’email ou le site d’un organisme de confiance (banque, administration) dans le but de tromper l’usager et de lui soutirer des informations sensibles (mot de passe par exemple).

DoS

Une attaque par déni de service (DoS, denial of service) est une mise hors service d’un système informatique.

Cloud

Le cloud computing ou informatique en nuage est une infrastructure dans laquelle la puissance de calcul et le stockage sont gérés par des serveurs distants, auxquels les usagers se connectent via une liaison internet sécurisée.

Attaque informatique avancée et ciblée (APT)

Une attaque APT (Advanced Persistant Threat) vise à placer un logiciel espion sur un dispositif informatique en demeurant inaperçu pendant la plus longue période possible.

 
 
 

Quel contrat d'assurance choisir contre les cyber risques ? 

Il arrive que certaines garanties «cyber» soient déjà incluses dans des contrats d’assurance souscrits par les entreprises, d’où l’intérêt d’une analyse de chacun des contrats à la lumière du risque «cyber». Toutefois, de nombreuses limitations existent concernant ce type de sinistres : l’assurance «Choses» garantit les biens corporels et indemnise un préjudice issu de la destruction, de la dégradation ou de la disparition d’un bien, mais rarement les dommages immatériels causés par un virus informatique; l’assurance «Fraude» couvre les frais de reconstitution de données dans certaines conditions, les cas de malveillance informatique n’étant que partiellement couverts; les réclamations relatives à la protection de la vie privée par un employé pourraient potentiellement être couvertes par une assurance «Rapports Sociaux EPL» et une assurance «Cyber».
La prévention étant cruciale, des services de prestataires externes, par exemple des experts en sécurité informatique ou des conseillers juridiques, sont en principe offerts par les assureurs.
 
Pour proposer à une entreprise des conditions contractuelles adaptées à son profil et accompagnées d’une tarification, l’assureur a notamment besoin de bien comprendre son domaine d’activité, d’examiner le niveau de dépendance de la société à son système informatique et d’estimer la durée d’interruption du système que l’entreprise peut supporter avant de subir un impact notable. Si une volonté de gérer le risque en amont n’est pas manifeste, la souscription de cette assurance risque d’être compromise. Il est donc important que l’entreprise décrive en détail sa politique de sécurité de ses systèmes informatiques, ainsi que le volume, la nature et les conditions de traitement et de sauvegarde des données avec lesquelles elle travaille.
 
Des attaques retentissantes comme celles subies par les firmes américaines Target ou Home Depot ont démontré qu’une attaque cyber pouvait affecter plusieurs contrats d’assurance, la problématique des cumuls d’engagements pour les assureurs pouvant se poser. De plus, l’interconnexion des systèmes et l’externalisation via le cloud contribuent à augmenter la probabilité de risques sériels. Face à un risque qui touche tous les secteurs d’activité et tous les pays, les organisations doivent être prêtes à répondre rapidement à leurs clients et à toute forme d’enquête de la part des autorités ou de plaintes qui pourraient être déposées, y compris à l’encontre des dirigeants. On sait combien les premières heures sont déterminantes et combien un exercice de gestion de crise est loin d’être évident. Certains secteurs sont plus exposés à un piratage de leurs données alors que d’autres seront plus exposés à des risques de prise de contrôle d’installations à distance et d’interruption d’exploitation comme le secteur de l’énergie et du transport par exemple.

La sécurité informatique : un problème stratégique et humain

Pour les directions d’entreprise, la sécurité informatique constitue une préoccupation qui dépasse l’aspect purement technologique. Il s’agit aussi d’un problème stratégique et humain qui nécessite des investissements. Les organisations ne sont pas attaquées par des ordinateurs, mais par des humains qui exploitent des failles aussi bien humaines que technologiques. Au même titre que l’entreprise a des obligations en matière d’hygiène et de sécurité à l’égard de ses employés, elle a aujourd’hui le devoir de mettre en place des règles d’hygiène informatique, sous la supervision de la direction. Les sociétés se doivent désormais d’être prêtes à faire face à ce type de sinistres et à l’intégrer de manière systématique à leur plan de gestion de crise.
 
L’UE et la Suisse ne sont pas encore arrivées au stade d’incriminer les dirigeants d’entreprise suite à des attaques informatiques, comme cela commence à être le cas aux Etats-Unis. Néanmoins, les patrons de firmes  européennes cotées, avec une exposition boursière américaine, ne sont pas à l’abri de telles poursuites. Et nul ne sait comment la fréquence et la gravité de ces attaques vont évoluer dans les années à venir.
 
Au même titre qu’un bâtiment est assuré contre l’incendie, les entreprises devraient souscrire une assurance «cyber» et leurs dirigeants une assurance «Responsabilité des Dirigeants». Les besoins diffèrent d’une entreprise à l’autre, d’un secteur à l’autre. L’impact d’un piratage de données de clients ne sera pas le même selon que la cible est un hôpital ou un fabricant d’emballages. Le rôle du courtier est justement d’accompagner l’entreprise dans le processus d’identification des risques et de proposer une offre adaptée.

La cybercriminalité en chiffres (2013/2014)

200,5

En millions de francs, le coût des dommages causés aux entreprises par la cybercriminalité en Suisse en 2014, selon le cabinet d’audit KPMG.

+48%

La hausse du nombre d’incidents de sécurité répertoriés dans le monde en 2014 sur un an, à 42,8 millions, soit 117’339 par jour en moyenne, selon le cabinet d’audit PricewaterhouseCoopers.

2,7

En millions de dollars, le coût annuel moyen des attaques pour les entreprises dans le monde en 2014, en hausse de 34% sur un an, selon PricewaterhouseCoopers.

+61%

La hausse du nombre de violations de données en 2013 sur un an, selon l’Agence européenne chargée de la sécurité des réseaux d’information (Enisa).

229

En jours, le délai moyen pour détecter une attaque informatique avancée et ciblée (APT), selon l’entreprise de sécurité informatique FireEye.

 

 

Notre spécialiste des cyber assurances

Sophie Di Meglio
Directrice Risques Spéciaux

Services associés