[DOSSIER] Cyber assurance 2/3

Cyber risques : les assureurs se plient en quatre

Cyber risques : les assureurs se plient en quatre

WannaCry a mis en lumière le rôle, désormais pluriel, des acteurs de l’assurance en cas d’attaques cyber. En plus de couvrir les pertes, ils doivent offrir de l’ingénierie de prévention, de l’expertise informatique et gérer la crise.

Panique sur les écrans. Ce samedi 13 mai 2017, une infection électronique, d’une ampleur exceptionnelle, se propage aux quatre coins du globe. WannaCry, un « rançongiciel » qui s’appuie sur une faille de sécurité de Microsoft Windows, crypte les données et réclame une rançon de 300$ à leur propriétaire.

Plus de 300 000 ordinateurs sont contaminés dans 150 pays différents en l’espace de 24 heures. En Angleterre, le système national de santé (NHS) est en partie para­lysé, avec 400 hôpitaux et cliniques infectés. En Russie, le virus est arrivé à la banque centrale. En France, Renault est contraint d’arrêter sa production sur le site de Douai, une des plus importantes usines du groupe (1 000 véhicules produits par jour). La fameuse attaque systémique, tant redoutée par les assureurs, vient d’arriver.

Grosse frayeur, faible sinistralité

Et pourtant, quatre mois plus tard, le bilan des dégâts est minime. « WannaCry a été un des premiers événements d’une telle ampleur systémique. Mais les conséquences n’ont pas été très importantes en terme de sinistralité », affirme Timothée Crespe, expert cyber chez le courtier Aon France. « Notre travail sur Wanna­Cry a d’abord consisté en de la gestion de crise pendant le week-end. Il a fallu apporter des solutions aux entreprises qui avaient une partie de leur système bloquée », explique Luc Vignancour, cyber practice leader pour le courtier Marsh France. Chez les assureurs, comme Chubb, compa­gnie leader avec l’Américain AIG sur le marché du cyber, on tire le même constat. « Notre portefeuille a été très peu touché », déclare Xavier Leproux, responsable de la souscription des cyber risques en France.

Au-delà du bruit médiatique qu’elles ont provoqué, les grandes cyberattaques survenues en 2017 ont surtout été révélatrices des véritables besoins des entreprises face à ce type de me­na­ce : du conseil et de l’accom­pa­gnement. Une demande que courtiers et assureurs ont bien intégrée.

Le déclic RGPD

« Il y aura un avant et un après RGPD », affirme Laure Zicry, responsable technique cyber risque chez Gras Savoye. Le marché de la cyber assurance, en pleine effervescence depuis le début de l’année 2017, s’attend à une hausse importante de la demande en couverture avec l’entrée en vigueur de la directive européenne sur la protection des données personnelles (Réglement général sur la protection des données, RGPD) en mai 2018. Cette nouvelle réglementation obligera les entreprises à veiller à ce que les données personnelles stockées dans leurs systèmes soient à tout moment et en tout lieu sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si malgré tout, elles étaient piratées, l’entreprise concernée devrait le notifier, dans les plus brefs délais, à l’autorité compétente (la Cnil en France) et informer les personnes concernées si un risque réel d’atteinte à leur intimité était établi. Surtout, en cas de négligence, l’entreprise s’expose à des sanctions pouvant atteindre 4 % de son chiffre d’affaires annuel mondial.

De l’assurance au servicing

« Au-delà de la dimension assurance, il y a un aspect servicing qui est clé. Il s’agit d’un axe de stratégie fondamental », affirme Christophe Zaniewski, directeur général France d’AIG. « La nouveau­té dans les produits cyber c’est clairement le volet assistance. Les contrats cyber se sont vraiment construits autour de cette problématique », confirme Timothée Crespe. L’approche est particulièrement développée pour les PME et les ETI qui ne disposent pas des mêmes ressources que les grands comptes. « Les entreprises du middle market n’ont pas les moyens d’avoir toutes les fonctions nécessaires pour pouvoir réagir à une attaque », précise Christophe Zaniewski. Des manques que les acteurs de l’assu­rance s’efforcent de pallier.

Un travail qui commence par un effort de prévention au sein des entreprises. L’importance de la prévention a d’ailleurs été l’un des principaux enseignements de WannaCry. Deux mois avant l’attaque, Microsoft avait publié un patch pour corriger la faille exploitée par le « rançongiciel ». Les entreprises touchées le 13 mai n’avaient, donc, soit pas mis à jour leur système, soit avaient conservé des versions dépassées de Windows.

« Les récentes attaques ont bien fait ressortir qu’au-delà des extorsions, il y a des mesures préventives à prendre dans les entreprises », explique Timothée Crespe d’Aon. Chez le courtier Gras Savoye, Laure Zicry, responsable technique cyber risk, vante un outil qui permet aux entreprises du type PME et ETI de connaître précisément leur exposition aux risques au même titre que les grands comptes. « Nous avons mis au point un outil de cartographie des risques qui permet d’identifier les scénarios majeurs en terme d’impact et de fréquence. Nous proposons aussi de réaliser une enquête qui mesure le niveau de sensibilité des salariés aux enjeux de protection des données. Cela permet aux directions générales d’avoir une lecture fine du niveau de sensibilisation et de prendre ainsi les mesures nécessaires pour cibler et adapter la communication et la formation et plus largement mettre en place des mesures qui ont un impact sur l’engagement des salariés », explique Laure Zicry.

Trois attaques majeures en 2017

  • WannaCry, l’attaque mondiale
    Dans la nuit du vendredi 12 au samedi 13 mai, le « rançongiciel » WannaCry se répand sur le globe. Une fois installé sur l’ordinateur, le virus chiffre les données et réclame une rançon de 300 $ à payer en bitcoin pour le déverrouiller. Plus de 300 000 entreprises, dont le constructeur automobile Renault, sont infectées dans 150 pays différents en l’espace de 24 heures.
  • NotPetya, la réplique
    Quelques semaines seulement après l’attaque WannaCry, un autre « rançongiciel » nommé NotPetya touche de nombreuses entreprises européennes le 27 juin. En France, Saint-Gobain, la SNCF, Auchan ainsi que la Maif font partie des victimes. Lors de la présentation de ses résultats pour le deuxième semestre 2017, le groupe Saint-Gobain a évalué l’impact de l’attaque à 1,1 % de son chiffre d’affaires, soit environ 220 M€.
  • Les Macron Leaks
    Comme la campagne présidentielle américaine, qui avait été marquée par la publication des mails d’Hillary Clinton, les élections françaises ont elles aussi été perturbées par les hackers. Dans la soirée du 5 mai, à quelques heures du second tour des présidentielles, des dizaines de milliers de mails de l’équipe de campagne d’Emmanuel Macron fuitent sur Internet. Ce piratage aurait été le fruit d’une attaque par phishing (piratage par mail).

Gestionnaire de crise

Pour la gestion de crise, les assureurs proposent un éventail de services qui vont de la communication au juridique en passant, bien évidemment, par le dépannage purement technique. L’assu­reur Chubb a ainsi mis en place une data breach team.

« En cas d’attaque ou d’une fuite de donnée avérée ou supposée, l’assuré dispose d’un numéro d’urgence. Un coach le prend en charge dans l’heure qui suit et voit en fonction de la situation s’il est nécessaire de dépêcher, sur place, des experts », explique Xavier Leproux. Pour ce faire, l’assureur, qui se dit en mesure d’allouer des capacités de 100 M€ en ­domma­ges et 25 M€ en RC, a noué des partenariats avec des entreprises spécialisées. « Pour le coaching nous nous appuyons sur le groupe d’expertise français Texa. En cas d’attaque avérée, nous faisons appel aux services de Lexsi, une société spécialisée en cyber sécurité rachetée par Orange, qui est en mesure d’identifier les vulnérabilités des systèmes et de faire les patchs nécessaires. Un cabinet d’avocats est à disposition pour toute question juridique. Nous avons enfin un partenariat avec le groupe Acticall qui est spécialisé dans la relation client », détaille Xavier Leproux.

Le courtier Aon fait, pour sa part, le pari de faire du service en cyber sécurité un marqueur de différenciation. Le groupe mondial a, en effet, réalisé l’acqui­sition en 2016 de la société de conseil new-yorkaise Stroz ­Friedberg. Cette entreprise spécialisée en sécurité informatique est en mesu­re de réaliser des tests d’intru­sion ainsi que des traitements de réclamations pour les comptes des clients du courtier. « Il s’agit d’une société spécialisée dans la cyber sécurité qui est capa­ble d’intervenir en cas de sinis­tre. Mais qui nous permet également de proposer des solutions d’accompagnement à nos clients, notamment pour sécuriser des opérations telles que l’échange de données entre plusieurs pays », préci­se Timothée Crespe. Alors que la demande en couverture cyber connaît une forte croissance en France depuis le début de l’année, notamment accentuée par la médiatisation d’attaques de grande ampleur et à l’aune de l’entrée en vigueur du règlement général sur la protection des données personnelles, chacun affute ses armes pour gagner les meilleures parts du gâteau.

  • 400 M€ C’est le montant estimé des capacités libérées sur le marché français par les assureurs pour les couvertures cyber.
    Source : marché
  • 60 % En France, près de six entreprises sur dix disent avoir été victimes d’une cyberattaque l’an dernier.
    Source : DFCG , association nationale des directeurs financiers et de contrôle de gestion
  • 50 M$ Le chiffre d’affaires des cyber assurances a été évalué à 50 M$ en 2016, de 300 M$ au niveau européen et de 3 Md$ aux États-Unis.
    Source : FFA

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Désignation d'un délégué à la protection des données.

Communauté de communes de Castelrenaudais

23 mars

37 - CC DU CATELRENAUDAIS

Proposé par   Marchés Online

Commentaires

Cyber risques : les assureurs se plient en quatre

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié