Depuis déjà plusieurs années, les Cyber Risques sont classés en 1ère position du baromètre des risques émergents élaboré par France Assureurs.
Parmi ces risques, le phishing ou l’hameçonnage sont ceux auxquels les organisations sont les plus exposées.
Toutefois, les hackers ne manquant pas de créativité, il existe de multiples typologies d’attaques Cyber. Parmi celles-ci, on compte les virus, les vers qui sont des virus qui se reproduisent dans les systèmes d’information, les attaques par Déni de services organisées à partir d’ordinateurs appelés BotNet, contrôlés à distance par les hackers et qui ont pour objectif de saturer les réseaux des victimes.
D’autres risques existent tels que le cryptage, le vol ou la divulgation de données, la tendance actuelle étant de combiner le cryptage et la menace de divulgation. On parle dans ce cas de double extorsion, l’entreprise ou l’organisation faisant alors généralement face à un quadruple risque.
Tout d’abord celui en lien avec l’administration. En effet, lors d’un vol de données sensibles (le RGPD parle de données présentant un risque pour les droits et les libertés des personnes telles que la perte de données relatives à la santé, à l’origine ethnique ou aux opinions politiques), l’entreprise victime est dans l’obligation de prévenir la CNIL dans les 72 heures. Cette dernière peut, par la suite, prononcer des amendes administratives si les données étaient insuffisamment protégées, mais aussi une obligation de suivi et de notification aux personnes impactées par le vol des données.
Ensuite, le risque de mise en cause de sa responsabilité civile lorsque le vol des données provoque des préjudices aux personnes dont les données personnelles étaient stockées sur les ordinateurs de l’entreprise.
Puis, la perte d’exploitation consécutive à un arrêt probable de l’entreprise.
Enfin, le risque de paiement d’une rançon pour récupérer les données et débloquer les systèmes.
Il va sans dire qu’une entreprise confrontée à ce quadruple péril devra se faire accompagner, à la fois par des spécialistes en informatique afin de gérer la paralysie des systèmes et restaurer les données, mais aussi par des consultants juridiques pour défendre ses intérêts face à la CNIL, et enfin par des experts en communication de crise pour gérer les problématiques d’atteinte à l’image.
A l’exception des ransomwares qui ne sont pas couverts par certains assureurs, ces risques sont généralement garantis par les contrats Cyber.
Les dernières attaques qui ont défrayé la chronique sont celles du centre hospitalier de Mâcon le 22 mai 2022 et de l’usine de fabrication de tracteurs Massey Fergusson qui s’est produite le 5 mai dernier et a eu pour conséquence la mise au chômage technique des salariés.
Le télétravail ainsi que les usages nomades de l’outil informatique ont par ailleurs renforcé la vulnérabilité des organisations à ce risque.
D’après le dernier rapport de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) les Cyber attaques explosent. L’ANSSI a constaté une augmentation de 37 % des attaques avérées en 2021 par rapport à 2020.
La tendance est lourde et ne devrait pas connaître d’infléchissement en raison notamment de la guerre en Ukraine et des techniques des hackers, toujours aussi actifs, de plus en plus sophistiquées.
Les conséquences en matière d’assurance
Les renouvellements 2022 des contrats Cyber ont eu lieu dans la douleur. Les augmentations de primes sur les grands risques qui sont les plus exposés se sont échelonnées de 50 % à 150 % et ce, pour des risques non sinistrés.
A cela, il a fallu ajouter des demandes par les assureurs de mises en place de mesures supplémentaires de prévention et de protection représentant un coût important pour les entreprises. A titre d’illustration, certains assureurs spécialistes du risque Cyber demandent aux grandes entreprises et aux ETI de se doter de systèmes de double, voire de triple authentification (MFA - Multi Factor Authentification) ou d’antivirus de dernière génération, tels les EDR et les XDR permettant de détecter à la fois les tentatives d’intrusions non sollicitées et les comportements suspects sur les réseaux (par exemple, l’activation de commandes PowerShell, langage de programmation utilisé sur les ordinateurs équipés du système d’exploitation Windows, en vue notamment d’extraire illégalement des fichiers). Des plans de continuité d’activité ont aussi été systématiquement demandés par les assureurs.
Les garanties et les franchises n’ont pas été en reste. Beaucoup d’assureurs ont réduit leurs capacités et ont augmenté leurs franchises, les garanties délivrées allant rarement au-delà de 50 millions d’euros par sinistre.
Les PME ont subi des augmentations mais dans une moindre mesure (par exemple, les tarifs du Pack Cyber d’AIG ont certes évolués mais dans des proportions plus raisonnables).
Par ailleurs, leurs questionnaires sont généralement simplifiés et concernent uniquement l’absence de sinistralité antérieure ou la mise en place de sauvegardes hebdomadaires à froid (hors connexion).
Eu égard aux limites de garanties proposées aux PME, ces dernières n’ont pas ou peu été impactées par ce phénomène d’attrition. Ainsi, à l’exception de certaines activités sensibles telles que les plateformes de jeux ou de rencontres, ou de placements financiers en ligne, le marché reste ouvert à la souscription des risques Cyber pour les PME.
Les conséquences en matière réglementaire
Face au risque de financement du terrorisme, AXA a décidé en mai 2021 de suspendre la garantie des rançons de ses contrats Cyber. D’autres assureurs ont suivi en attendant que le parlement se prononce sur la légalité d’une telle couverture.
Un rapport parlementaire sur le sujet, élaboré par une commission présidée par Mme Valéria Faure-Muntian, a été rendu public en octobre 2021. Ce dernier préconisait alors l’interdiction du paiement des rançons par les assureurs.
A rebours des conclusions de ce rapport, le texte d'orientation et de programmation du ministère de l'Intérieur, publié le 16 mars 2022, ouvre une brèche dans l'institutionnalisation du paiement de ces cyber-rançons.
En effet, un projet de texte propose de conditionner le remboursement par les assureurs des sommes engagées par l'entreprise à un dépôt de plainte dans les 48 heures après le versement de la rançon.
Conclusion
En attendant l’adoption ou non de cette nouvelle réglementation, il est à noter que les risques Cyber font partie du quotidien de l’ensemble des entreprises qui, selon le cas, sont susceptibles d’être plus ou moins touchées dans leurs activités.
Parmi les secteurs pour lesquels un impact significatif est à craindre, on peut citer ceux de l’hôtellerie et du tourisme (perte des données plus ou moins sensibles telles que les cartes bancaires, impossibilité de consulter les réservations), de l’industrie (arrêt des chaines de production), de la santé (perte de données sensibles et de l’historique des dossiers médicaux combinée avec des arrêts des dispositifs médicaux), des professions du chiffre ou juridiques (perte de données sensibles et de l’historique).
A ce jour moins de 1 % des PME sont assurées contre les risques Cyber. La raison essentielle est l’insuffisance de prise de conscience de ces risques par les dirigeants.
Eu égard aux enjeux que de tels risques représentent, il est sans doute temps de combler ce déficit assurantiel. C’est aussi une formidable opportunité de développement des activités des intermédiaires d’assurance tout en leur permettant de satisfaire à leur obligation de conseil.