Cyber-attaques : faut-il s'assurer ?

Lorsque la sécurité des données informatiques d'une entreprise est attaquée, les conséquences sont financièrement coûteuses et potentiellement très graves pour la continuation de l'activité.  « Les entreprises françaises sont souvent conscientes du danger, mais beaucoup d?entre elles ne savent pas qu?elles peuvent s?assurer. Sensibiliser les RSSI, risk managers et autres professionnels de la sécurité informatique aux solutions complémentaires existantes est essentiel. C?est dans cette optique que nous avons choisi de rédiger ce livre blanc », explique François Brisson, responsable du marché Technologie-Media-Télécom (TMT) chez Hiscox en France. La filiale française de cet assureur britannique vient en effet de publier un livre blanc intitulé « Intégrer l?assurance dans la gestion des risques liés à la sécurité des données » réalisé en partenariat avec le Mag IT et LesSourceIT.

Quelles sont conséquences financières ?

Chaque incident concernant la sécurité des données a un coût, variable selon la veleur de la donnée et de la durée qu'il faut pour remédier à l'incident. En 2011 en France, on estimait à 2,55 millions d'euros le coût moyen d?une violation de données, soit 16 % de plus qu?en 2010, avec un coût moyen par donnée piratée de 122 euros , soit 13 % de plus qu?un an plus tôt. Celui -ci intégre à la fois les frais de gestion des incidents, de veille sur les moyens de paiement dont la sécurité a été compromise, l'indemnisation de partenaires lésés, etc. 

La nouveauté : les frais de notification

Les frais de notification s'y ajoutent désormais car la directive européenne de 2009 a été transposée en France le 24 août dernier et oblige à "notifier" les clients des violations de leurs données personnelles. Il faudra aussi, comme aux Etats-Unis, notifier les autorités compétentes de toute violation de données, dans les 24 h suivant la découverte de l?incident et proposer des mesures de correction. Selon le livre blanc, "faute de notification dans les délais impartis, ou encore d?adoption de mesures appropriées à la protection des données traitées, il faudra faire face à une sanction administrative de la CNIL pouvant aller jusqu? à 1 000 000 euros, voire à 5 % du chiffre d?affaires mondial de l?entreprise".

Le libre blanc d'Hiscox cite l'exemple d'une entreprise spécialiste de la vente en ligne qui s?est fait voler plus de 2 millions de données clients sensibles en 2009. Elle a dû fermer momentanément son site Web (coût de 1,5 million d'euros), répondre aux demandes d?indemnisation des banques des clients finaux touchés (1 million d'euros), assumer des expertises, des notifications et des exercices de veille (1,25 million d'euros), et enfin travailler à restaurer sa notoriété (250 000 euros). L'entreprise n?a pas payée ces frais "puisqu?elle avait fait le choix de souscrire un contrat d?assurance Data Risks by Hiscox", précise l'assureur.

Quelle assurance et à quel prix ?

Plus l'entreprise est grande plus le risque est potentiellement important et coûteux. Le Financial Times a ainsi révélé en août que le conglomérat industriel allemand ThyssenKrupp allait s'assurer contre d'éventuelles cyber-attaques susceptibles d'entraver sa production. Le contrat d'assurance souscrit, notamment auprès d'Axa, doit couvrir jusqu'à 50 millions d'euros de dommages. Le groupe aéronautique européen EADS aurait également manifesté son intérêt pour ce type d'assurance, selon le journal allemand.

Toutes les compagnies qui souscrivent des grands risques d'entreprises (Allianz, Axa, Zurich, etc) peuvent proposer une couverture, la différence se fait sur les garanties et les tarifs. "On peut trouver 50 millions d'euros de garanties sur le marché français", indiquait Luc Vignancour, directeur adjoint du département Finpro du courtier Marsh, lors des rencontres annuelles des risks managers en février dernier. La plupart des police couvrant spécifiquement les cyber-risques ont des plafonds de garanties de 50 000 euros à 15 millions. Jusqu'à cette somme, un seul assureur souscrit le contrat. Au delà les contrats sont en co-assurance.

Des produits spécifiques sont concçus pour les PME par des assureurs dits de "niche" comme Hiscox ou XL Group. Leur objet est de couvrir à la fois la responsabilité civile, les coûts de notification et la perte de chiffre d'affaires. Le courtier d'assurance a pour rôle de chercher la meilleure solution pour l'entrepirse qui le mandate, sachant que les primes annuelles sont élevées : elle s'échelonnerait entre 5 et 10 % du montant garanti.

L'atteinte à la réputation : la première conséquence

En plus des coûts financiers, d'autres conséquences peuvent mettre en péril la continuation de l'entreprise. L?atteinte à la réputation de l?entreprise est à ce titre la première conséquence pour l'entreprise.  Qui aurait envie de confier son argent ou ses données personnelles à une entreprise dont l?expérience montre qu?elle n?en assure pas la sécurité ? Même s'il est difficile techniquement de prévoir toutes les protections, le fait de prévoir un plan de communication de crise vis à vis de ses clients, fournisseurs, distributeurs et même collaborateurs peut sauver l'activité future. Le fait de souscrire une assurance apparaît comme le témoignage de la capacité d'anticipation de l'entreprise et de maîtrise de ses risques.

L'interruption d'activité : une menace pour la survie de l'entreprise

L?interruption de service est une autre conséquence possible d?une attaque. La perte de documents et de contrats en cours en cas de vol de données commerciales, la simple existence d?un fichier de données personnelles corrompu peut nécessiter une interruption, même passagère, de l'activité pour rétablir la confidentialité des données et la marche normale de l'entreprise. le livre blanc cite le cas de Sony victime début 2001 du piratage de son  PlayStation Network qui a conduit à la perte de 80 millions de données clientes. Le service a été interrompu durant plusieurs semaines, et même deux mois au Japon. Le coût s'est élevé au total à plus de 173 millions de dollars.
LinkedIn a dû à son tour prendre des mesures au cours du premier semestre 2012 pour empêcher l?utilisation frauduleuse des comptes des utilisateurs dont la sécurité des mots de passe avait été compromise, le temps de permettre leur réinitialisation, raconte aussi le livre blanc.

Et si ça vous arrivait ?

Le piratage de données n'arrive pas qu'aux autres. C'est pour quoi il peut être essentiel de se protéger contre ce risque. Une chaine de supermarché a par exemple été piratée pendant trois ans suite à l?installation d?un virus qui a provoqué l'exportation des données bancaires des clients. L'assureur de l'entreprise, en l'occurrence Hiscox, indique avoir dépensé plusieurs millions d?euros afin de gérer cette crise lorsque le piratage a été découvert : frais de notification, « credit monitoring », expertise informatique, frais d?avocats, dommages et intérêts, etc.

Dans beaucoup de cas, l'assureur procède d'abord à un audit de risque qui peut mettre en lumière les vulnérabilités de l'entreprise. Hiscox raconte ainsi avoir révélé à un aéroport régional qu'il sous-estimait les risques de l?une de ses activités annexes : la gestion du parking (billetterie et site internet de réservation des places).Or, l?aéroport a dans ce cadre la responsabilité de stocker les données bancaires des utilisateurs pendant 30 jours.