Comment s'assurer contre les pirates et la cybercriminalité

Les hackers font désormais partie du quotidien des entreprises. Comment identifier les risques ? Comment se protéger ? Comment se faire indemniser. Autant de question traitées lors d'un atelier sur la cybercriminalité lors des Rencontres Amrae à Deauville, l'association des risks managers.
Copyright Reuters

Les attaques de cybercriminels se multiplient. Outre le piratage du fichier de clients de la playstation de Sony, Bank of America en mars 2011, EDF le 4 avril et bien d'autres ont eu à faire face à une agression informatique l'an dernier. Des affaires dont le poids économiques est loin d'être négligeable. Le piratage du fichier de Sony a par exemple entraîné la perte de 80 millions de données et au total ce sinistre représente un coût de 73 millions d'euros. "C'est du même ordre qu'un gros sinistre industriel", observe Guillaume de Chatellus, directeur des risques d'entreprises province chez Generali. Pour cette raison, l'atelier organisé jeudi à Deauville lors des Rencontres annuelles de l'Amrae, l'association des risks managers, a connu une forte affluence.

Toutes les entreprises seront bientôt obligées d'avertir quand elles sont victimes d'une cyberattaque

Toute la difficulté est justement d'évaluer l'ensemble des coûts d'un acte de piratage ou de fraude informatique pour une entreprise. Le seul coût de notification de perte (ou de fraude) d'une donnée aux autorités, aux personnes ou aux entreprises concernées peut varier de 20 à 200 euros par donnée. Quand il s'agit de millions de données, la facture monte vite ! Aux Etats-Unis la notification (c'est à dire le fait d'avertir la puissance publique et le victimes potentielles) est obligatoire pour toutes les entreprises mais en France, seuls des entreprises spécifiques comme les opérateurs télécom  y sont actuellement contraints...Pour l'instant, car une proposition de directive a été déposée le 25 janvier visant à étendre cette obligation à tout type d'entreprise en France et dans les pays de l'Union européenne.

L'évaluation est indispensable pour lancer une enquête judiciaire

En plus de coût de notification aux autorités et aux victimes, l'entreprise qui subit une cyber attaque peut faire face à une perte de chiffre d'affaire et à des surcoûts de fonctionnement pour remettre ses systèmes informatiques en état. Elle peut avoir à subir une amende et lorsque des tiers sont touchés, elle peut devoir verser des indemnités à la suite de réclamations. Mais comme le souligne Guillaume de Chatellus de Generali, il faut aussi prendre en considération les conséquences immatérielles sur la fidélité des clients, sur la réputation et la notoriété, sur le capital confiance de l'entreprise. Autant de valeurs immatérielles dont la dégradation est difficile à chiffrer.
Pourtant, il est essentiel pour l'entreprise d'évaluer les dommages entraînés par une attaque informatique. "C'est important d'avoir une bonne idée de ce que cela coûte à la victime car c'est décisif pour nous inciter à agir. Il faut aussi indiquer le délai dans lequel le système défaillant doit être mis en oeuvre", explique Eric Freyssinet, lieutenant-colonel de gendarmerie, chef de la division de lutte contre la cybercriminalité. A défaut d'une évaluation précise, "le risque est qu'il n'y ait pas d'enquête judiciaire...car il nous faut des arguments pour convaincre les magistrats", ajoute-t-il.

Une assurance spécifique plafonée à 50 millions d'euros

Il existe des assurances contre les risques de cyber attaques. "On peut trouver 50 millions d'euros de garanties sur le marché français", indique Luc Vignancour, directeur adjoint du département Finpro du courtier Marsh. La plupart des police couvrant spécifiquement les cyber-risques ont des plafonds de garanties de 50 000 euros à 15 millions. Jusqu'à cette somme, un seul assureur souscrit le contrat. Au delà de 15 à 50 millions d'euros, il s'agit d'un contrat en coassurance. Peu d'assureurs sont toutefois spécialistes de ces risques sur le marché français et tous sont anglo-saxons. Pour de grandes entreprises ce plafond de 50 millions peut sembler faible, il peut toutefois être augmenté en faisant appel à des capacités à l'étranger.
L'autre solution peut être d'intégrer des garanties spécifiques dans des polices plus générales. L'assurance dommages aux biens peut prévoir d'indemniser les pertes de chiffres d'affaires et autres dommages matériels après une cyberattaque. La police en responsabilité civile générale peut elle aussi avoir une clause couvrant les coûts des réclamations après une cyberattaque. Et la police couvrant les risques de fraude peut inclure aussi les fraudes informatiques ou via les réseaux sociaux par exemple. Encore faut-il que les assureurs soient d'accord pour élargir leurs contrats. Or très souvent ces risques, liés à l'informatique et leurs conséquences, sont justement exclus des polices d'assurance plus générales.

Sujets les + lus

|

Sujets les + commentés

Commentaires 10
à écrit le 10/02/2012 à 16:57
Signaler
Skynet va tous nous enterrer de toute façon...

à écrit le 10/02/2012 à 15:10
Signaler
En principe. J'écris bien : en principe. Une "assurance" contre tout dégât informatique est aussi inutile qu'un CDS. Pour deux raisons diamétralement "opposées" que sont la cause et l'effet. Un assureur connait PARFAITEMENT les chiffres des dégâts da...

le 10/02/2012 à 20:00
Signaler
C'est le métier de l'assureur d'estimer un risque et de proposer de le couvrir. Lorsqu'il possède une bonne base statistique, l'assureur peut réaffiner son offre, mais on ne peut pas lui attribuer une connaissance "parfaite", c'est un peu trop idéali...

le 10/02/2012 à 22:05
Signaler
Les assureurs manquent peut-être encore de bases statistiques fiables pour assurer vraiment leurs clients.

à écrit le 10/02/2012 à 12:47
Signaler
Comment s'assurer contre la cybercriminalité : d'abord il faudrait s'assurer contre la mafia des financiers (banques, assurances,...) qui sont des groupes encore plus parasites, aux vues du plus grand hold-up de tous les temps qui a lieu actuellement...

le 10/02/2012 à 15:01
Signaler
Le pire est que vous n'avez pas tort, Candide. Mais ils commencent à craindre pour leur commerce, donc, tous les espoirs sont permis.

à écrit le 10/02/2012 à 8:06
Signaler
En n'utilisant pas "windaube" qui est une passoire informatique !

le 10/02/2012 à 11:15
Signaler
Presque, Pmxr. Car 80% des serveurs sont sous Linux. Ce n'est pas, dans CE cas, le système d'exploitation qui compte, mais les fameuses requêtes SQL qui autorisent ou non l?accès. Et là, elles sont plus ou moins bien faites par les programmeurs. Souv...

le 10/02/2012 à 15:33
Signaler
"windaube" n'est pas qu'une passoire, c'est une faille de sécurité! Les serveurs (les gros ordinateurs centraux, pas les postes PC) sont sécurisés. Ils ne sont pas infaillibles, mais leurs attaques nécessitent un ciblage très précis pour une attaque ...

à écrit le 10/02/2012 à 7:28
Signaler
Bonjour, Il existe déjà une solution pour "s'assurer" contre la Cybercriminalité : http://www.cyberprotect.fr/ Cordialement,

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.