Altran, Fleury Michon et beaucoup d’autres entreprises ont subit des cyberattaques de grande ampleur. En 2020 par exemple, la marque de lingerie féminine Lise Charmel a été placée en redressement judiciaire suite aux conséquences du cryptage de toutes ses données en France et à l’étranger.

Dernièrement, la crise du Covid-19 a constitué une opportunité pour les cybercriminels et l’on a pu observer une augmentation des attaques et des sinistres déclarés. C’est ainsi que l'entreprise CERP Rouen fût victime d'une escroquerie médiatisée au « faux ordre de virement » de la part d'individus malveillants, avec une perte de 6,6 millions d'euros, suite à une commande de masques de protection et de gels hydroalcooliques à un pseudo fournisseur.

Les entreprises qui ont eu recours au télétravail pour maintenir leur activité n’ont pas été épargnées. Elles ont été confrontées pour certaines à des risques accrus de piratage de données, en offrant une porte d’entrée aux données des entreprises.

« Les PME ne semblent pas avoir pris la mesure du risque cyber entraînant une perte d’exploitation, des coûts d’expertises informatiques, des frais d’avocats, des coûts de rétablissement - même avec un Plan de continuité de l’activité (PCA) -, des pertes chez les sous-traitants et les clients, des frais de notification obligatoires à la CNIL et aux victimes en vertu du RGPD. Notons aussi des coûts indirects comme la chute des ventes, les pénalités contractuelles, la baisse de valorisation de l’entreprise sur les marchés, sans oublier les nombreux impacts intangibles, tels la réputation, la désorganisation interne ou encore le préjudice stratégique », prévient Éric Lamouret, président du Sycra (Syndicat des Courtiers de Réassurance).

La cyberassurance : un secteur encore en quête de maturité

Aujourd’hui, les assureurs ne sont pas en mesure d’évaluer précisément les engagements et les primes, car l’historique des sinistres ne remonte pas au-delà de 5 ans. De fait, ils ne disposent pas d’une base de calcul stable pour les primes et les garanties.

« Pour l’heure, le niveau de couverture des risques est au-dessous de 15 millions d’euros alors qu’il faudrait couvrir le double ou le triple de cette somme pour les sinistres les plus importants », selon Eric Lamouret.

Avant de souscrire une cyberassurrance, l’idéal est de réaliser un audit de sécurité du système d’information et de s‘assurer que les mesures de base sont bien comprises par tous les salariés. À défaut, il faut faire un diagnostic avec un questionnaire détaillé. Bien noter qu’une sauvegarde très récente de toutes les données (clients, fournisseurs, métiers, etc.) est essentielle pour des raisons évidentes car elle permet de reprendre rapidement l’activité. Ce n’est malheureusement pas encore toujours le cas, et de fait la DSI doit y apporter une attention toute particulière.

Vérifier l’articulation des couvertures entre responsabilité civile et cyberassurance

Un point à surveiller tout particulièrement est l’analyse détaillée du recoupement des couvertures entre l’assurance responsabilité civile (RC) de l’entreprise et la cyberassurrance. Par exemple, il faut interroger l’assureur pour savoir si le contrat couvre un clic par un collaborateur sur une pièce jointe vérolée dans un message frauduleux.

« Au niveau des prospects, avec lesquels il n’existe pourtant aucun lien contractuel, si les données d’un fichier prospect bien renseigné sont divulguées, la cyber responsabilité sera certes en cause, mais non prise en charge par un contrat Responsabilité Civile Professionnelle », précise Éric Lamouret.

Quels sont les coûts d’une cybersassurance ?

La prime dépend de beaucoup de facteurs : la taille de l’entreprise, le périmètre couvert par l’assurance, le résultat du questionnaire détaillé, etc. Deux exemples cités par le Sycra donnent une première approche.

Premier exemple avec une PME, 20 ans d’activité dans l’industrie, un CA de 7,5 M d'euros et des exportations aux États-Unis sans présence locale. Sur la base d’une limite de garantie de 2,5 M d'euros, la prime s’élève à 2436 euros TTC.

Le second exemple est un supermarché créé depuis 40 ans, au CA de 30 000 000 euros. Sur la base d’une limite de garantie de 5 000 000 d'euros, la prime s’élève à 4900 euros TTC en offre sur mesure.

Avant de signer le contrat, bien identifier les exclusions de garantie. Une cyberassurance ne prend en charge que les dommages immatériels. La plupart des cyber polices excluent d’office les pertes de données dues à une erreur humaine (de la part d’un salarié par exemple). Certains contrats excluent les dommages financiers liés à une fraude informatique en interne, ou encore ceux dus à une erreur de programmation. Autre exclusion, le coût des amendes, des pénalités, des sanctions administratives en cas de vol de données, le coût de la rançon éventuelle.

Au-delà de l’intérêt croissant d’une cyberassurance, une politique de sécurité informatique complète et proactive reste un préalable indispensable.