Cybercriminalité – Entreprises – Garanties : Un risque qui prend de l'assurance

LES CINQ PAYS LES PLUS ATTAQUÉS (% des actes hostiles)

• États-Unis 30%
• Royaume-Uni 11%
• Inde 4%
• Australie 4%
• France 4%
  
  Source : RSA 2013

Alors que l'offre s'étoffe en matière de couverture des cyber-risques, de son côté, la demande est encore en construction, obligeant les assureurs à sensibiliser davantage les entreprises et à revoir certaines de leurs approches. Même si le sinistre subi il y a trois ans par Sony (1) reste présent dans toutes les têtes, avec un impact sur le bilan du constructeur japonais estimé à plus de 120 M€, il n'en demeure pas moins que beaucoup d'entreprises françaises regardent encore de très loin les risques de cybercriminalité.

Or, le couperet pourrait bien tomber et frapper toutes les entreprises détenant des informations personnelles appartenant à des tiers. Alors, même si le projet de règlement européen régissant la cyber-sécurité (lire encadré p. 58) ne fait pas encore l'unanimité au sein de la Commission européenne, il reste d'actualité et devrait entrer en vigueur d'ici à 2015 au lieu de 2014 comme initialement prévu.

Ce retard devrait permettre aux assureurs d'inciter les entreprises industrielles et tertiaires à se mettre aux normes ou, tout du moins, à veiller à la sécurité de leurs systèmes d'information. « La réglementation vient donner un cadre. Pour autant il faut que les entreprises aient réellement pris conscience de ces risques pour les intégrer dans leur couverture globale. Ce risque ne doit pas être enfermé dans un silo. Il dépasse le champ opérationnel des systèmes d'information », estime Saïd Dami, IT Senior Risk Advisor pour l'Europe continentale d'Ace. En outre, des éléments concrets commencent à émerger pour montrer aux dirigeants des moyennes entreprises que ce type de risques n'est pas l'apanage des grands groupes.

LES TROIS PROFILS DE CYBER-CRIMINELS

• Les hacktivistes Leurs motivations sont plutôt idéologiques, mais leurs attaquent peuvent aussi être désastreuses. Pour défendre une cause, ils entrent en conflit avec des institutions gouvernementales, des secteurs « sensibles » comme l'énergie ou la finance, ou encore des entreprises connaissant un plan social.
• Les cyber-receleurs Leurs ambitions sont le vol et la revente des données sur les clients d'entreprises, ainsi que le détournement de paiements. Leurs principales victimes appartiennent principalement au domaine bancaire, au e-commerce et à l'industrie.
• Les États Ils se muent en cyber-criminels par motivation géopolitique sous la forme d'espionnage industriel ou politique, et certains virus, comme Stuxnet, peuvent provoquer des destructions de données ou de matériels. D'autres États sont donc leurs victimes, mais aussi les industries technologiques à haute valeur ajoutée et stratégique, les réseaux de communication ou les distributeurs d'énergie.

Apprendre avec ses clients ou élargir son offre

Le dernier rapport sur les menaces de sécurité Internet 2012 de l'éditeur de logiciel Symantec abonde dans ce sens. Il relève une recrudescence des attaques l'an dernier, en hausse de 42% dans le monde. Toujours selon cette étude, bon nombre de sinistres concernent des PME. Alors, tout comme pour les risques politiques, la médiatisation de plus en plus forte de ces attaques cybernétiques favorise une meilleure appréhension des cyber-risques par les entreprises françaises, de plus en plus conscientes de leur besoin assurantiel et de prévention. Pour autant, la sensibilité à ce type de risques diffère d'une entreprise à l'autre et même d'un secteur à l'autre. « Pourtant, de tels sinistres auront forcément une répercussion sur les affaires de l'entreprise, notamment en affectant la confiance du client », explique Xavier Leproux, responsable des risques informatiques France d'Ace.

Pour répondre aux besoins de ce marché en construction, les assureurs n'adoptent pas exactement la même ligne de conduite. Certains, comme Axa Corporate Solutions (Axa CS), se positionnent davantage comme conseil en prévention et analyse des risques. Philippe Rocard, directeur général d'Axa CS, revenait d'ailleurs sur ce sujet dans les colonnes de L'Argus de l'assurance du 19 avril : « Avant d'attaquer de front le marché, nous avons décidé de prendre les choses dans l'ordre. La première étape consiste à appréhender et à comprendre cette typologie de risques avec les risk-managers. C'est pour cette raison que nous servons le marché avec une offre dédiée à la prévention, en partenariat avec Cassidian. »

Xavier Leproux, Responsable des risques informatiques France d'ACE « La prise de conscience de ces nouvelles contraintes est encore timide »

• Les entreprises ont-elles conscience de ces obligations ?
  Le projet de règlement européen de janvier 2012 devrait être réellement opérationnel à l'horizon 2015. Il aura notamment pour ambition de rendre obligatoire la notification des clients en cas de fuite de données personnelles ou encore d'alourdir les sanctions. Toutes les entreprises en possession de ce type de données sont concernées par ces nouvelles exigences. Nous constatons de notre côté une prise de conscience encore timide de ces nouvelles contraintes. Pour Ace, c'est une opportunité d'accompagner encore les entreprises autour des enjeux liés à la protection des données personnelles, notamment.
• Que représente ce marché pour Ace ?
  Ace est positionné sur ce marché depuis longtemps et jouit d'une expérience importante dans la mise en place et le suivi de polices cyber auprès d'une clientèle allant de la PME aux très grands comptes. Nous avons adapté notre gamme de produits pour suivre cette évolution et proposer une offre combinée dommages et responsabilité civile.

PROJET EUROPEÉN DISCUTÉ, MAIS MAINTENU

Alors que le projet de règlement donnant de nouvelles bases à la protection des données suscite encore bon nombre de débats au sein de la Commission européenne, il devrait néanmoins être adopté d'ici à 2015 au plus tard. Il préconise de replacer l'individu au coeur du système en responsabilisant les entreprises de toute taille ayant en leur possession des données dites confidentielles appartenant à un tiers. Il vise ainsi à augmenter leur responsabilité et à renforcer l'action des autorités de protection des données personnelles

D'autres, comme Ace, interviennent en amont et en aval de cette typologie de risques. De leur côté, Beazley et CNA Europe ont décidé de pousser les feux sur le duo dommages et responsabilité civile. CNA Europe proposait en effet uniquement, pour répondre à ce type de risques, une couverture RC. Dans son offre version 2013, la compagnie opte pour la carte supplémentaire de la garantie dommages, permettant à la gamme de couvrir le vol ou encore la violation de réseaux et l'extorsion de données. En février, le Britannique Beazley, est sorti du lot en proposant un plafond concernant les frais de notification liés à l'obligation d'informer les clients d'une cyber-attaque susceptible d'avoir violé leurs données personnelles, et ce en fonction du nombre d'individus concernés. « Le contrat peut couvrir l'ensemble des frais liés à la perte de données impliquant jusqu'à 5 millions de personnes », précise l'assureur, qui se positionne au niveau de son offre cyber-risques comme un véritable chef d'orchestre de la gestion de crise.

La menace d'une insuffisance de capacité

Outre ces différentes approches et une demande de plus en plus présente sur le segment des cyber-risques, il reste néanmoins aux fournisseurs assurantiels à dégager assez de capacités pour répondre au mieux aux besoins du marché français. Alors qu'Axa a rejoint les neuf autres assureurs historiques intervenant déjà dans ce domaine d'expertise - Ace, AIG, Beazley, CNA, Hannover Re, Hiscox, Swiss Re, XL et Zurich -, la capacité globale du marché est encore aujourd'hui estimée à plus de 100 M€. Zurich France affiche pour son offre cyber-risques une capacité de 25 M€, alors que Beazley et XL dégagent des plafonds de garantie de près de 15 M€.

Le CEO de Zurich France, Anne Charon, et le nouveau directeur opérationnel-souscription et distribution pour l'Europe continentale d'Ace, Jeff Moghrabi, adoptent pour leur part la même ligne de conduite quand il s'agit de qualifier ce nouveau segment. Pour eux, les cyber-risques sont avant tout « des risques sans frontière pouvant s'étendre à différents systèmes d'information et avoir un impact à la fois sur l'outil de production et la réputation de l'entreprise ».

La nouvelle donne du cloud computing

Ce nuage de données externalisé change de plus en plus la donne au niveau des cyber-risques. Derrière son apparence sécurisée, émergent des risques relatifs à la confidentialité et à l'intégrité des données. Cette évolution amène courtiers et assureurs à sensibiliser leurs clients sur le fait de bien appréhender la chaîne de transferts avec les sous-traitants. « Il faut notamment que les contrats de prestation définissent clairement les responsabilités des parties en cas de survenance de l'un de ces risques », précise Xavier Leproux, responsable des risques informatiques France d'Ace. Gérard Russeil, directeur du GIE Chorégie, revenait dans L'Argus de l'assurance du 5 juillet 2013 sur cette pratique du cloud computing et les changements d'habitudes qu'elle implique : « Comme à l'époque de l'infogérance, les conditions contractuelles sont extrêmement importantes. Le prestataire doit s'engager sur des niveaux de service délivrés, sur la disponibilité, les temps de réponse, de rétablissement en cas de problème... Mais il faut également étudier la sécurisation de l'accès aux données, ainsi que leur préservation dans le futur. Des clauses de sortie de contrat fonctionnelles et économiques doivent permettre de changer de prestataire ou de réinternaliser le service. »

Alors, même si, aujourd'hui, cette capacité paraît suffisante pour supporter les mouvements du marché, l'élargissement de la demande et la complexité de ces risques pourraient très vite la rendre insuffisante. Et Jeff Moghrabi d'appuyer : « Au-delà de la sphère réglementaire, nous allons ainsi assister à un nouveau défi assurantiel, la maîtrise du cumul. De fait, la problématique de la capacité va se poser très rapidement. Le risque lié à la cybercriminalité sera demain pour les assureurs ce que sont les catastrophes naturelles aujourd'hui. »

1. En avril 2011, des hackers ont attaqué le service en ligne PlayStation Network de Sony, accédant aux données personnelles, en particulier bancaires, de 77 millions d'utilisateurs.