Assurances : mais que fait votre police contre la cybercriminalité ?

Une cyberattaque d'ampleur inédite a paralysé une partie du web le 21 octobre,  aux États-Unis. Pour saturer les services de connexion et rendre des sites internet inaccessibles, les hackers ont organisé des vagues déferlantes de demandes de connexion en passant par des millions d'objets connectés. De quoi regarder son grille-pain avec suspicion ! Pourtant, 87% des entreprises ne croient pas qu'une cyberattaque puisse les viser et les mettre en péril. Une sous-estimation du risque qui représente un danger majeur et reste le principal atout des pirates !

Des cyberattaques multiformes

L'actualité nous fournit des exemples de cyberattaques au quotidien. Données volées et divulguées (emails d'Hillary Clinton, piratage de Sony), secrets technologiques ou militaires dévoilés (sous-marins DCNS), désinformation (attaque contre TV5 Europe), fonds détournés, espionnage industriel, etc.

Les auteurs de ces intrusions ont des profils divers : services de renseignements étrangers, groupes terroristes, organisations mafieuses mais aussi et surtout hackers, concurrents, collaborateurs mécontents ou toute personne aux intentions crapuleuses.

L'ampleur des menaces

Les derniers chiffres fiables concernant le coût de la cybercriminalité datent de 2014[1]. Aux États-Unis, celle-ci a coûté 108 milliards de dollars soit 0.64% du PIB, pour 60 milliards en Chine (0,63% du PIB) et 59 milliards de dollars en Allemagne (1,6% du PIB). En France, ce coût serait de l'ordre de 3 milliards de dollars, soit 0,11% du PIB. Un chiffre relativement faible, qui ne s'explique pas par une meilleure cybersécurité au plan national, mais plutôt parce que la France n'est pas encore une cible prioritaire pour les cybercriminels. Nul doute que le rattrapage est en cours...

Car la menace croît de manière exponentielle, et ce partout dans le monde, avec pour ligne de mire les cibles les plus lucratives et les moins protégées. Inga Beale, présidente des Lloyd's de Londres vient ainsi de lancer un cri d'alarme dénonçant la « nonchalance » des dirigeants d'entreprises, due en grande partie au fait que les attaques subies jusqu'à présent ont eu des conséquences en apparence limitées. Ainsi, fin 2014, lorsque des pirates ont obtenu les numéros de téléphone de 500 millions de clients Yahoo en organisant une fraude majeure, on a assisté à un sentiment général de déni, « tout cela n'est pas si grave », car il suffisait de consulter l'annuaire téléphonique pour obtenir le même résultat ! Une forme de réassurance par l'absurde qui démontre une mauvaise compréhension de la menace.

Des conséquences lourdes

En fonction des intentions du cyberpirate introduit dans le système, les dommages causés peuvent être considérables et menacer la survie même de l'entreprise.

Chez Aramco, une entreprise saoudienne qui extrait 10% de la production mondiale de pétrole, un collaborateur a ouvert un e-mail piégé en 2012. Une organisation a alors mis hors d'état de fonctionnement 35 000 ordinateurs ainsi que les téléphones de l'entreprise qui fonctionnaient tous en VOIP[2]. La gestion des stocks, l'expédition, la facturation sont devenus cauchemardesques et une bonne partie du pétrole livré les semaines suivantes n'a jamais été payée... Une compagnie moins solide aurait probablement disparu.

Ainsi, outre le délit d'intrusion initial, le cyber hacking produit toute une série de crimes et délits, des plus classiques (détournements de fonds, extorsions, usurpations d'identité) aux plus innovants, comme le vol de données critiques, y compris celles de leurs clients. Et plus le caractère des données volées est sensible (données personnelles, médicales, financières, stratégiques, intimes...), plus les conséquences sont lourdes : pertes sèches, couverture médiatique dévastatrice et déficit d'image à la clef.

Une cyberattaque peut également engendrer un déni de service. Une fois bloquée, l'entreprise ne fonctionne plus et subit une perte d'exploitation. Ce fut le cas douze heures durant, le 21 octobre dernier, pour Amazon, Airbnb, Paypal, CNN, le New York Times, Twitter et d'autres.

Enfin, ultime risque, et non des moindres, celui des amendes encourues par les entreprises en cas de manquement. La protection des données est un sujet sensible et les pouvoirs publics renforcent la législation partout dans le monde. En découlent des amendes de plus en plus lourdes : jusqu'à 4% de son CA mondial pour une entreprise en Europe !

Le rôle de l'assureur face à la cybercriminalité

Dans ce monde menaçant et lucratif du piratage informatique, l'assureur adapte en permanence sa réponse.

En premier lieu, il encourage la prévention par une sécurisation des systèmes et des contrôles d'accès ainsi que par la mise en place d'un plan d'urgence. Comme pour tout risque, l'issue finale ne dépend pas tant de sa survenance que de la réaction adoptée. En cas de cyberattaque il met de véritables équipes d'intervention à disposition de ses clients : informaticiens, juristes et communicants à même de gérer la violation.

D'autre part, les polices cyber-risques prennent en charge les coûts générés par une atteinte à la disponibilité des systèmes et des données, leur intégrité et leur confidentialité. L'entreprise assurée sera indemnisée par rapport à la valeur de ses actifs en cas de détournement de fonds ou de rançon, pour ses pertes d'exploitation et surcoût de fonctionnement en cas d'attaque de type déni de service, pour les frais de notification de pertes de données à la CNIL et aux clients, enfin pour les réclamations liées aux préjudices causés aux tiers.

La nature évolutive des risques fait que nul aujourd'hui ne peut connaître le prix réel du risque. Adapter ses contrats d'assurances à ses besoins en respectant les réglementations européennes, ou évaluer les risques IT, la stratégie de transformation et l'accompagnement (privacy, gestion de crise, cyberdéfense) est complexe mais nécessaire.

Avec plus de 3 milliards d'individus ayant accès à internet dans le monde, ne pas être assuré contre les attaques cyberattaques devrait paraître aujourd'hui aussi saugrenu que de ne pas l'être contre le risque d'incendie. Les réponses apportées par les assureurs sont multiples, mais le marché se structure et la garantie est aujourd'hui disponible pour un prix moyen de l'ordre de 350€ par million d'euros de CA. De quoi se pencher sérieusement sur ce risque de moins en moins virtuel !

[1] Source : rapport du Center for Strategic and International Studies (CSIS)

[2] « Voice over IP » est une technologie permettant de communiquer via la voix au travers d'internet ou n'importe quel réseau basé sur le protocole TCP/IP.