La Direction générale du Trésor (DGT) a remis, en septembre 2022, un rapport sur le développement de l’assurance du risque cyber. Rémi Bottin, directeur synergies et développement au cabinet Bessé Conseils, revient sur ce rapport et avance des pistes de réflexion pour développer l’assurance du risque cyber.
Qu’est-ce que le risque cyber ?
Aujourd’hui, avec la digitalisation, les systèmes d’information occupent une part importante, voire critique, dans les chaînes de valeurs des entreprises. Le risque cyber est inhérent au processus de digitalisation. Il constitue l’ensemble des atteintes, internes et externes, aux systèmes d’information. Ainsi, un chef d’entreprise doit protéger son outil de production des éventuelles conséquences d’un incident arrivant à son système d’information. Une attaque cyber peut entraîner des répercussions aussi bien sur l’entreprise que sur les tiers qui peuvent être les fournisseurs ou les clients.
Quels préjudices, une entreprise peut-elle subir ?
On peut lister trois types de préjudices lorsqu’une entreprise est victime d’une cyber attaque :
● les préjudices liés à une perte d’exploitation
● les frais de remédiation
● les questions de communication
La perte d’exploitation constitue les 2/3 des préjudices subis par une entreprise. L’attaque mettant à mal l’outil de production, l’entreprise produit moins, voire plus du tout.
À la suite d’une attaque cyber, l’entreprise doit restaurer son système d’information, c’est ce qu’on appelle la phase de remédiation. Pour ce faire, l’entreprise s’appuie sur des spécialistes afin de déterminer si le problème persiste, si des sauvegardes de données ont bien été effectuées et si elles sont valides et non pas corrompues. Ces frais impliquent également la remise en état des ordinateurs, entre autres.
Enfin, la communication est très importante tout au long de la gestion de l’incident. Cette phase, parfois négligée par les entreprises, est essentielle afin de maintenir la confiance des tiers que sont les sous-traitants et les clients, sans oublier les équipes en interne.
Bien souvent, on ne peut pas en vouloir à une entreprise de s’être fait attaquer. Mais on peut en vouloir à une mauvaise gestion. Prévoir un plan de communication est donc primordial. À la fois sur le plan interne que sur le plan externe.
Lire aussi : Les chiffres clés de l’impact des attaques cyber dans les entreprises
Qu’en est-il des conséquences sur les tiers ?
La menace cyber permet de remettre au goût du jour l’aspect RGPD (Règlement général sur la protection des données) et l’analyse des données. Une entreprise B2C dispose de données sur ses clients. Se pose donc la question de leur type, de leur but et de leur autorisation. Au-delà du côté RGPD, il y a aussi la possibilité d’une attaque en responsabilité civile. Le client d’une entreprise victime d’une cyberattaque peut aussi avoir été impacté. S’il attaque, il doit prouver la perte de chiffre d’affaires liée à la cyberattaque.
Quelle est la réaction des assureurs lors d’une cyberattaque ?
L’assureur et l’assuré ont tous les deux un objectif commun : que l’activité redémarre le plus vite possible. Des frais supplémentaires sont à prévoir (par exemple : la remise en état du matériel informatique) pour éviter que les pertes d’exploitation n’augmentent. L’assureur préfère parfois payer pour que l’activité de l’assuré redémarre plus vite.
Lorsqu’une entreprise est victime d’un rançongiciel, la norme est donc de faire en sorte de payer la rançon ?
Le rançongiciel* est l’une des attaques les plus courantes désormais, ciblant indistinctement tout type d’organisation.
Lorsque l’on parle des frais supplémentaires, se pose évidemment la question du paiement de la rançon. L’intègre-t-on dans les frais supplémentaires pour éviter que la perte d’exploitation soit plus importante ? Les acteurs étatiques, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), la gendarmerie et la police ont toujours maintenu une ligne claire de non-paiement des rançons. Ces institutions de référence insistent sur le risque lié aux données récupérées après paiement de la rançon (intégrité des données) et le risque qu’une victime soit à nouveau la cible d’une attaque cybercriminelle. Le règlement de la rançon, a en outre, cet effet pervers de développer la fréquence.
La logique serait de ne pas prendre en charge la rançon. Il faut se mettre en capacité de se sentir suffisamment à l’aise dans ses mesures pour pouvoir redémarrer son activité.
* Le rançongiciel (ou ransomware) est un type de cyberattaque consistant à envoyer à la victime un logiciel malveillant chiffrant l’ensemble de ses données. Le rançongiciel exige une rançon en échange du mot de passe de déchiffrement des données.
Comment expliquer la position des assureurs au sujet du paiement de la rançon ?
La tendance chez les assureurs est de se dire que le règlement de la rançon coûtera moins cher, à terme, que ne pas la régler.
La DG Trésor, dans le cadre de ce rapport sur la cyber assurance et avec l’appui des assureurs, a estimé que les coûts et les sinistres seront plus élevés et moins bornés en cas de non-paiement de la rançon. C’est là toute l’importance du travail de préparation effectué en amont. Les assurances n’arrivent qu’à la toute fin. La logique serait de ne pas prendre en charge la rançon. Il faut se mettre en capacité de se sentir à l’aise dans ses mesures pour pouvoir redémarrer son activité.
Dans le cadre des ETI, une personne qui ne s’est jamais occupée de cybersécurité aura plus tendance à payer. D’un autre côté, les personnes qui ont anticipé avec un directeur ou un responsable de la sécurité des systèmes d’information (DSSI/RSSI) et des sauvegardes, se sentiront moins vulnérables pour ne pas payer. Plus le client est petit, plus il aura tendance à demander le paiement de la rançon, car il n’est pas préparé à pouvoir remettre en état ses services. Plus l’entreprise est grande, plus elle s’est préparée et moins, elle paie.
Comment accompagner les entreprises pour faire face au risque cyber ?
Je ne crois pas à l’obligation d’assurance. Les PME et les TPE sont conscientes de ce risque. Nous savons déjà que les banques travaillent sur ce sujet, que l’État a intégré des moyens financiers dans le plan de relance. On en arrive au sujet des référentiels avec la question : quel est le minimum à avoir pour une entreprise. Il faut donc plus de référentiels, que le secteur des assurances travaille sur des modules à mettre en place pour faciliter la protection. Beaucoup de choses existent, mais quand on est chef d’entreprise, on ne sait pas forcément par où commencer.
Le rapport de la DGT pointait un manque de préparation des assureurs pour mesurer le risque cyber. Comment les aider ?
Les assureurs ont l’obligation de disposer de capitaux propres leur permettant de tenir leurs engagements. Pour la DGT, ce qui est important est de savoir si les assureurs ont bien conscience des engagements qu’ils ont sur le sujet cyber.
Historiquement, dans les contrats, il y a les garanties “dommages” et “responsabilité civile”. En fonction des contrats et des libellés, le cyber est déjà compris.
Les assureurs veulent la création d’une branche spéciale dédiée au risque cyber. Dès lors, il faut extraire tout ce qui touche au cyber dans l’existant. Il faut dédier des garanties et des contrats d’assurance au cyber.
Les préjudices ne sont pas forcément les mêmes d’une entreprise à une autre.
En fonction de la taille de l’entreprise, les coûts seront différents. En assurance, il est très rare d’avoir à payer une réparation totale de l’entreprise. Généralement, en cas de sinistre, les entreprises sont préparées. Les dégâts ne concernent pas la totalité de la structure. En cyber, un sinistre peut tout mettre à mal si l’entreprise n’a pas anticipé. Les assureurs n’y sont pas nécessairement préparés et peuvent avoir à tout payer. Les assureurs doivent réussir à mutualiser et à vendre plus de contrats d’assurance cyber afin de constituer un matelas capable d’absorber les problèmes. Cette mutualisation des contrats passe par des questionnaires d’évaluation des mesures de cybersécurité mutualisés. Certains assureurs le mettent déjà en place.
On peut aussi imaginer des solutions différentes selon les typologies de clientèle. Les capitaux, les besoins en protection cyber et les mesures ne sont pas les mêmes entre une TPE, une PME/PMI, une ETI et un grand compte. Si on apporte une solution clé en main au chef d’entreprise, avec des garanties définies, il choisira la solution de cyber assurance qui lui convient.