Quel contrat d'assurance choisir contre les cyber risques ?
Il arrive que certaines garanties «cyber» soient déjà incluses dans des contrats d’assurance souscrits par les entreprises, d’où l’intérêt d’une analyse de chacun des contrats à la lumière du risque «cyber». Toutefois, de nombreuses limitations existent concernant ce type de sinistres : l’assurance «Choses» garantit les biens corporels et indemnise un préjudice issu de la destruction, de la dégradation ou de la disparition d’un bien, mais rarement les dommages immatériels causés par un virus informatique; l’assurance «Fraude» couvre les frais de reconstitution de données dans certaines conditions, les cas de malveillance informatique n’étant que partiellement couverts; les réclamations relatives à la protection de la vie privée par un employé pourraient potentiellement être couvertes par une assurance «Rapports Sociaux EPL» et une assurance «Cyber».
La prévention étant cruciale, des services de prestataires externes, par exemple des experts en sécurité informatique ou des conseillers juridiques, sont en principe offerts par les assureurs.
Pour proposer à une entreprise des conditions contractuelles adaptées à son profil et accompagnées d’une tarification, l’assureur a notamment besoin de bien comprendre son domaine d’activité, d’examiner le niveau de dépendance de la société à son système informatique et d’estimer la durée d’interruption du système que l’entreprise peut supporter avant de subir un impact notable. Si une volonté de gérer le risque en amont n’est pas manifeste, la souscription de cette assurance risque d’être compromise. Il est donc important que l’entreprise décrive en détail sa politique de sécurité de ses systèmes informatiques, ainsi que le volume, la nature et les conditions de traitement et de sauvegarde des données avec lesquelles elle travaille.
Des attaques retentissantes comme celles subies par les firmes américaines Target ou Home Depot ont démontré qu’une attaque cyber pouvait affecter plusieurs contrats d’assurance, la problématique des cumuls d’engagements pour les assureurs pouvant se poser. De plus, l’interconnexion des systèmes et l’externalisation via le cloud contribuent à augmenter la probabilité de risques sériels. Face à un risque qui touche tous les secteurs d’activité et tous les pays, les organisations doivent être prêtes à répondre rapidement à leurs clients et à toute forme d’enquête de la part des autorités ou de plaintes qui pourraient être déposées, y compris à l’encontre des dirigeants. On sait combien les premières heures sont déterminantes et combien un exercice de gestion de crise est loin d’être évident. Certains secteurs sont plus exposés à un piratage de leurs données alors que d’autres seront plus exposés à des risques de prise de contrôle d’installations à distance et d’interruption d’exploitation comme le secteur de l’énergie et du transport par exemple.
La sécurité informatique : un problème stratégique et humain
Pour les directions d’entreprise, la sécurité informatique constitue une préoccupation qui dépasse l’aspect purement technologique. Il s’agit aussi d’un problème stratégique et humain qui nécessite des investissements. Les organisations ne sont pas attaquées par des ordinateurs, mais par des humains qui exploitent des failles aussi bien humaines que technologiques. Au même titre que l’entreprise a des obligations en matière d’hygiène et de sécurité à l’égard de ses employés, elle a aujourd’hui le devoir de mettre en place des règles d’hygiène informatique, sous la supervision de la direction. Les sociétés se doivent désormais d’être prêtes à faire face à ce type de sinistres et à l’intégrer de manière systématique à leur plan de gestion de crise.
L’UE et la Suisse ne sont pas encore arrivées au stade d’incriminer les dirigeants d’entreprise suite à des attaques informatiques, comme cela commence à être le cas aux Etats-Unis. Néanmoins, les patrons de firmes européennes cotées, avec une exposition boursière américaine, ne sont pas à l’abri de telles poursuites. Et nul ne sait comment la fréquence et la gravité de ces attaques vont évoluer dans les années à venir.
Au même titre qu’un bâtiment est assuré contre l’incendie, les entreprises devraient souscrire une assurance «cyber» et leurs dirigeants une assurance «Responsabilité des Dirigeants». Les besoins diffèrent d’une entreprise à l’autre, d’un secteur à l’autre. L’impact d’un piratage de données de clients ne sera pas le même selon que la cible est un hôpital ou un fabricant d’emballages. Le rôle du courtier est justement d’accompagner l’entreprise dans le processus d’identification des risques et de proposer une offre adaptée.
La cybercriminalité en chiffres (2013/2014)
200,5
En millions de francs, le coût des dommages causés aux entreprises par la cybercriminalité en Suisse en 2014, selon le cabinet d’audit KPMG.
+48%
La hausse du nombre d’incidents de sécurité répertoriés dans le monde en 2014 sur un an, à 42,8 millions, soit 117’339 par jour en moyenne, selon le cabinet d’audit PricewaterhouseCoopers.
2,7
En millions de dollars, le coût annuel moyen des attaques pour les entreprises dans le monde en 2014, en hausse de 34% sur un an, selon PricewaterhouseCoopers.
+61%
La hausse du nombre de violations de données en 2013 sur un an, selon l’Agence européenne chargée de la sécurité des réseaux d’information (Enisa).
229
En jours, le délai moyen pour détecter une attaque informatique avancée et ciblée (APT), selon l’entreprise de sécurité informatique FireEye.