• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Pourra-t-on toujours assurer les cyber-risques?

Charles Cuvelliez et Emmanuel Michiels

Publié le 27 janvier 2022 à 15:09 - Mis à jour le 27 janvier 2022 à 15:27

Portugal: une cyberattaque frappe les medias du groupe impresa

Photo d'illustration

Kacper Pempel

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 2

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 3

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 4

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 5

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. Il en va des rançongiciels comme d'Omicron : on risque d'y passer. Les moins résistants, individus pour Omicron, entreprises pour les rançongiciels trépasseront. Omicron tue moins mais se répand plus. Les rançongiciels aussi. Aux soins intensifs pour Omicron correspondent les spécialistes cyber au chevet des entreprises. Par Charles Cuvelliez, Ecole polytechnique de Bruxelles, Université libre de Bruxelles, et Emmanuel Michiels, directeur exécutif en charge de la gestion des risques, Belfius Assurance.

S'assurer contre les risques cyber risque de devenir un luxe impayable et le procès qu'a gagné Merck contre ses assureurs qui n'avaient pas voulu le couvrir contres les dommages du rançongiciel NotPetya ne va rien arranger. La plupart du temps, une cyber assurance couvrira les pertes directes, peut-être les pertes d'exploitation (pertes indirectes). Dans les services financiers, la perte due à une interruption ne se limite pas à dédommager un client pour un produit livré en retard. Il s'agit de pertes irrémédiables de clients, de transactions, pas d'un simple retard dans leur exécution. C'est aussi de la perte de confiance envers la firme qui n'a pas tenu ses engagements sur les marchés financiers. Il s'agit de la perte des actifs de la banque et de la preuve de leur existence si tout est chiffré après le passage du rançongiciel.

Les dommages en cas de cyberattaques sont plus vastes: amendes réglementaires, chiffre d'affaires perdu pendant l'arrêt des activités, coûts d'exploitation, fraude lorsque l'attaque a consisté à détourner les moyens de paiement, fuite de données, rupture de contrat de clients lésés, vol ou perte de propriété industrielle... Avec un incendie ou une inondation, c'est plus simple : le dommage à couvrir, c'est essentiellement la valeur du bien détruit. Et s'il y a une couverture de la perte d'exploitation, elle sera déclenchée par la destruction du matériel informatique, pas par sa paralysie due à un rançongiciel.

Aujourd'hui, les assureurs exigent de venir avec une liste de risques à couvrir sous forme de scénario : est-ce un rançongiciel dont on veut se protéger, est-ce contre une intrusion de criminels qui auront pris le contrôle des systèmes de paiement? Un assureur voudra de moins en moins proposer une couverture générique contre (tout forme de) cyberattaques.

Influencer le risque

Une autre caractéristique remarquable des cyberattaques comme risque à couvrir est qu'on peut influer sur son cours. Lors d'une inondation ou un incendie, on ne peut plus faire grand-chose. Si un rançongiciel frappe votre entreprise, vous pouvez l'arrêter si vous avez de la chance mais, ensuite, vous pouvez encore négocier la rançon, la diminuer, décider de ne pas payer. C'est un risque dont la matérialisation est sous le contrôle de la victime.

C'est pourquoi, autre singularité, les compagnies d'assurance s'arrogent le droit d'intervenir dans la gestion de l'incident, quitte à dépêcher un négociateur pour la rançon ou à envoyer des spécialistes sur place pour aider mais aussi recueillir des indices (et, s'il le faut, contester l'intervention s'il y a eu négligence). S'impliquer dans la gestion de l'attaque, c'est une manière pour l'assureur de compenser l'absence de modèle actuariel pour estimer la menace : autant l'influencer!

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

La construction de modèles actuariels fiables prendra encore du temps obligeant l'assureur à davantage de précaution: les cyberattaques évoluent fortement (en sophistication) avec le temps au contraire d'un incendie. Un assureur va aussi vouloir contrôler le risque à couvrir en soumettant l'assuré à des questionnaires pour voir s'il se protège bien, s'il peut se relever en cas d'attaque. Bientôt, il s'agira d'audits de sécurité. On rejoint la pratique des risques industriels.

Les assureurs chassent dans leurs contrats toute couverture de risque qui pourrait avoir comme cause un événement cyber sans qu'il ait été prévu. Ils le sortent de leur couverture pour l'isoler dans une assurance spécialisée plus contrôlable.

Mieux vaut le savoir

On verra sans doute des primes qui varient selon les scénarios de cyberattaques. Il y a une différence entre un rançongiciel qui bloquera toute l'entreprise pendant plusieurs jours et un autre qui aura réussi à être contenu dans certains parties inoffensives du réseau. L'impact dépendra des plans de résilience et de continuité de l'entreprise. Les teste-t-il? Dans les industries très informatisées comme les services financiers, la complexité est telle qu'il est difficile d'établir une correspondance entre les machines, quand elles tombent en panne, et les processus. Qui peut prévoir, lorsqu'une machine tombe en panne, quel impact cela va avoir sur les processus en aval de la société, surtout s'il s'agit de services financiers.

Une cyber assurance est moins une assurance IT qu'une assurance business mais elle est aujourd'hui traitée comme assurance IT. Le dommage, c'est surtout le business (perdu définitivement).

Il y a pourtant aujourd'hui une pression des autorités pour forcer les assureurs à mieux couvrir le cyber risque. C'est possible si ce risque ne se matérialise pas en même temps chez tout le monde comme une pandémie. Or, on voit apparaitre des vulnérabilités exploitables sur des produits informatiques présents chez tout le monde : si les hackers s'organisaient pour les exploiter en même temps et partout avant qu'un correctif ne soit installé, c'est toutes les assurances cyber qui s'activeraient en résonance. Ce n'est pas tenable, tout comme aucune assurance n'aurait pu prendre en charge les dommages causés par la pandémie. L'Etat avait pris le relais en prévenant les dommages.

Charles Cuvelliez et Emmanuel Michiels

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats