Cyber-menaces, une opportunité pour les pirates mais aussi les assureurs ?
Les attaques informatiques
Aujourd’hui, personne n’est à l’abri d’une cyber-attaque.
Les attaques sur les personnes sont connues et relativement maîtrisées (vol de coordonnées bancaires, usurpation d’identité, malware, publicité non désirée…) et gardent un impact relativement limité. Les banques couvrent d’ailleurs depuis longtemps les fraudes à la carte bancaire.
Les attaques sur les entreprises ne sont pas nouvelles mais prennent une ampleur très importante avec la généralisation des nouvelles technologies, mais également avec la crise sanitaire et le confinement en découlant.
La protection d’une entreprise contre les attaques se fait dès la conception du SI, cela exige une mise en sécurité continue contre les nouvelles menaces identifiées, mais passe surtout par une sensibilisation des collaborateurs.
Néanmoins, aucun système n’est protégé à 100% contre les attaques, nous détaillerons ce point dans cet article.
En revanche, une fois l’attaque en cours, il faut réagir rapidement et adopter les bons réflexes. Il est également possible de souscrire une assurance pour se faire conseiller en cas de besoin. Des cabinets spécialisés travaillent auprès des groupes d’assurances proposant ce type de couverture afin de monter des cellules de crise rapidement et adopter les bons réflexes dès la découverte de l’intrusion.
Une cyber-attaque c’est quoi ?
Si nous reprenons notre postulat de départ, « Aujourd’hui, personne n’est à l’abri d’une cyber-attaque ».
Mais une cyber-attaque, qu’est-ce que c’est ? Si nous reprenons la définition sur le site du gouvernement ; « une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant… »
Nous avons ici l’élément qui détermine l’avenir d’une société, une cyber-attaque bien menée peut engendrer des évènements néfastes en cascade menant dans 80% des cas d’attaques majeures à la cessation d’activité d’une TPE-PME dans les 12 mois qui suivent.
Cette statistique ne doit pas masquer le fait que la majeure partie de ces attaques ne sont pas des attaques ciblées mais des intrusions qui résultent d’une erreur humaine (celle-ci est à la base de 75 % des problèmes de sécurité informatique et de cyber-criminalité).
Les chiffres livrés chaque année par les éditeurs de logiciels de protection informatique font tourner la tête : des centaines de milliers de nouveaux variants de malware, de nouveaux rançongiciels toujours plus agressifs mais également l’utilisation de techniques bien connues mais redoutablement efficaces (phishing, arnaques au président, etc…).
Il serait légitime de se dire que l’imagination des pirates informatiques, leur multiplication et l’accessibilité accrue aux lignes de codes prennent de vitesse la formation et la sensibilisation des populations actives et de leur entourage.
Sur ce point, la conclusion la plus simpliste et la rapide serait de dire, nous ne sommes pas prêts !
Couvrir le risque cyber – le « pack cyber-sécurité »
De nombreuses assurances proposent de couvrir le risque cyber des petites ou grandes entreprises et la perte d’activité en découlant. Cette couverture consiste souvent au de tout ou partie de la rançon, ce qui s’avère souvent moins cher que le coût d’un rétablissement de l’activité sans disposer de la clef de décryptage.
- Des sociétés se sont développées, proposant des services de négociation avec les attaquants,
- Des assureurs indemnisent les investigations, l’expertise, les coûts pour faire face à une attaque, payer les frais de reconstitution des données détruites,
- Le cas échéant, l’assureur peut payer la rançon pour l’assuré.
En outre, chaque pack de cyber-sécurité propose son lot de garanties qui ont plusieurs objectifs :
- Assurer la responsabilité liée aux données, ici l’assurance indemnisera les préjudices financiers subis par un tiers, suite à la perte, à la divulgation ou l’utilisation frauduleuse de données confidentielles
- Préserver les pertes de résultats consécutives à une interruption du fonctionnement du réseau informatique. L’assurance vous couvre pour les dommages aux données et aux systèmes d’information causés par une attaque informatique, telle qu’une attaque de virus ou d’autres logiciels malveillants ou une attaque par déni de service (perte d’exploitation, frais d’experts informatiques, frais de restauration des données.)
- Assurer sa gestion de crise, tous les frais d’experts (partenariats entre assureur et cabinet spécialisé), les coûts de notifications, de campagne de communication et de protection de l’e-réputation sont gérés.
- Couvrir le surcoût pour faire face à une attaque, le contrat d’assurance cyber couvre les dépenses et la responsabilité légale qui découlent d’une atteinte à la protection des données personnelles (forensic, RGPD, juridique, experts informatiques)
- Payer la rançon, dans certains cas, le coût de remise en état du système informatique dépasserait le montant de rançon demandé, l’assurance paye la rançon, notamment pour éviter la divulgation et la vente des données personnelles saisies et accélérer la reprise d’activité.
- Couvrir les frais liés à la remise en route du SI, il s’agit du point central dans le redémarrage d’une activité, l’assureur prend en charge les coûts de récupération et de reconstitution des données.
Exemples de garanties complémentaires pouvant compléter un pack cyber proposé par un assureur :
« Assurance responsabilité civile »
Un contrat d’assurance cyber assure votre défense et votre responsabilité civile en cas de poursuites judiciaires intentées par des tiers alléguant des dommages causés du fait que l’assuré n’a pas protégé adéquatement son système informatique.
« Responsabilité médias »
Vous êtes couvert au titre des frais de défense et des dommages-intérêts en cas de réclamations pour violation de droit d’auteur et publication négligente, lors de la publication de contenu en ligne.
« Cyber-extorsion »
Couvre les pertes découlant du transfert de fonds à la suite d’une cyber-intrusion dans le système d’information sans intervention de tiers.
Cyber-assurance et croyances populaires
Plusieurs croyances persistent en matière de cyber-sécurité
- Pourquoi prendre un contrat de cyber-sécurité, je suis couvert par mes autres assurances (responsabilité, perte d’exploitation, protection de la réputation, etc…) ?
- Une assurance cyber pour mon entreprise, pour quoi faire, je ne suis pas exposé ?
- Une assurance cyber, c’est cher ?
La cyber-sécurité n’est pas pour toutes les bourses ?
L’assurance cyber n’est plus l’assurance gadget telle qu’elle pouvait être présentée il y a une dizaine d’années. Un marché de niche sur lequel les assurances ne voulaient pas s’aventurer car le marché était encore récent et nous n’avions que peu de recul par rapport au coût engendré pour couvrir et indemniser les entreprises.
Comme nous l’avons vu, l’assurance cyber devient l’un des piliers de la protection contre les cyber- attaques, ainsi les assureurs ont tissé de nombreux partenariats pour composer des offres qui permettent de proposer des prestations d’experts comprises dans leur produit d’assurance.
Pour exemple, l’assurance cyber est devenue abordable, de quelques centaines d’euros pour une entreprise réalisant un CA de moins de 500 k€ à environ 2 500 €/an pour une PME avec un CA compris entre 5 et 10 M€ (le montant de la couverture s’élevant à 1M€).
Pour tirer encore plus haut, pour une entreprise avec un chiffre d’affaires d’environ 600 M€, une assurance cyber s’élève en moyenne à 30 000 €/an.
Alors pourquoi un produit cyber doit-il être souscrit par les entreprises ? Nous le verrons par la suite mais lorsqu’une TPE-PME subit une cyber-attaque importante, dans la majorité des cas, celle-ci cesse son activité définitivement.
Une couverture des risques déjà existantes ?
Alors quelle différence entre une responsabilité civile professionnelle (RC Pro) et une assurance cyber ?
- Une RC PRO couvre les dommages causés par les prestations d’une entreprise. Elle couvre les retards accidentels lors des prestations, les fautes, erreurs ou omissions, ou encore la violation des droits de propriété intellectuelle. Par exemple vous êtes couvert en cas de de perte de vos données à la suite d’une mauvaise manipulation du fait d’une prestation mettant en faute l’entreprise vis-à-vis de son client.
- Un contrat cyber, lui prendra en charge la perte des données causée directement par une attaque cyber (vu précédemment).
Cette distinction est cependant à nuancer selon l’activité de l’entreprise et la répercussion de l’attaque informatique sur son activité quotidienne.
Selon une étude du club des juristes de 2018, « par nature, les contrats de responsabilité civile couvrent les dommages corporels, matériels et immatériels causés aux tiers, quel que soit leur fait générateur. Ils couvrent également les frais de défense et de recours de l’assuré lorsque ce dernier est la victime. Par conséquent, les sinistres de responsabilité civile résultant d’un fait générateur cyber d’origine malveillante ou consécutifs à une erreur humaine seront couverts par ces contrats. »
Les risques cyber peuvent donc partiellement être couverts par d’autres contrats d’assurance, RC PRO comme nous l’avons vu mais aussi des contrats de dommages aux biens, contrat fraude ou RC Dirigeant.
L’avantage notable d’une assurance cyber est qu’elle a été créée pour couvrir les besoins spécifiques liés aux attaques informatiques, évitant le cumul de plusieurs contrats d’assurance.
Nous pouvons retrouver ce phénomène de superposition des garanties d’assurance avec les assurances voyages (notamment la partie rapatriement) et les assurances de certaines cartes bancaires.
Les assureurs en position délicate
Les directives des pouvoirs publics se précisent mais leur position est encore incertaine. Si le mot d’ordre de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est de ne pas payer les rançons, aucune consigne claire n’est généralisée et la législation reste à mettre en place.
Certains assureurs préconisent de payer la rançon, éventuellement en mettant en œuvre une cellule pour négocier les montants versés. Néanmoins, comme Axa le fait déjà, nous préconisons ne pas encourager la pratique du paiement de la rançon et la flambée des tarifs avec la normalisation en découlant et de ne payer que dans les cas de perte de production totale et irréversible.
L’effort étant évidemment à mettre sur la prévention, la sécurisation du SI by design, en prévoyant des plans de reprise d’activité et l’accompagnement à la reconstruction le cas échéant.
La responsabilité de l’assureur
L’un des principes fondamentaux de l’assurance, outre celui mentionné dans cet article, est que l’on ne peut pas assurer un risque dont la survenance est programmée, le sinistre doit toujours être un aléa non prévisible.
Or, comme une voiture mal entretenue ou une installation électrique défaillante, un SI mal protégé est un risque prévisible. A défaut d’une législation claire, l’assureur a une responsabilité sociétale qui va au-delà de la simple rentabilité. L’absence de protection de certaines entreprises nuit à l’ensemble des autres.
A l’instar de l’assurance automobile, faut-il indexer les primes d’assurance en fonction du comportement plus ou moins à risque de l’assuré ? Favoriser les bons élèves ? Ceux qui mettent en place les bonnes pratiques, permettant de limiter au maximum l’impact d’une perte de données totale, avec des sauvegardes, des réplications pour éviter la centralisation à outrance et du silotage notamment.
La DSI est le parent pauvre en termes de dotation, les projets de sécurisation du SI sont rarement accompagnés du budget permettant une mise en œuvre efficace. Seules des mesures coercitives de la part de l’Etat ou des assureurs permettraient de remédier à ces défauts de sécurité.
Clauses suspensives, encouragement à la formation, accompagnement à la mise en place, mouchards, ajustement des tarifs, faut-il généraliser ces mesures ?
Encore une fois, les pouvoirs publics ont la responsabilité de donner le ton de la riposte.
Suite et fin dans notre second article sur le sujet, retrouvez nous en fin de semaine avec la réponse des assureurs…