top of page

Cyberattaques : Comment les entreprises peuvent se prémunir contre un risque croissant ?

Cyberattaques : Comment les entreprises peuvent se prémunir contre un risque croissant ?

Des premières réponses des assureurs face un risque cyber qui s’amplifie


En 2020, selon une étude du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), plus de la moitié des entreprises interrogées déclarent avoir été victimes d’au moins une cyberattaque (1). La vulnérabilité des entreprises est significative et la typologie des attaques est variée : phishing, virus, déni de Service (cf. Figure 1),... On note également une prépondérance des sociétés victimes dans les secteurs des services financiers, de la logistique et de la santé avec les hôpitaux comme cibles préférentielles. Ces derniers sont particulièrement vulnérables du fait d’un nombre important d’appareils connectés au réseau informatique (ex : ECG, scanners, moniteurs) ce qui facilitent l’entrée des cybercriminels dans le réseau.


Les conséquences de ces attaques sont diverses : une paralysie des systèmes et donc un arrêt de l’exploitation, le vol ou la perte de données sensibles, l’exposition à un chantage (ransomware) ou bien l’atteinte à la réputation. Par ailleurs, selon une étude réalisée par Hiscox (3), 34% des entreprises en France ont rapporté un cyber évènement et le coût médian de ces cyberattaques est de 35 000 € avec cependant une très forte volatilité (perte maximale de 3,1 M€).


On constate également une augmentation des attaques de type ransomware au cours des dernières années. Ces attaques se manifestent par le blocage des fonctionnalités du système ou encore par le chiffrement des données de l’entreprise. Pour des raisons évidentes, il n’y a pas de statistiques sur le paiement des rançons et les entreprises communiquent très peu à ce sujet. Néanmoins, selon les experts en cybercriminalité, compte-tenu de la difficulté à localiser et interpeller les cybercriminels ou à récupérer les données par des moyens propres, la plupart des entreprises finit par payer les rançons exigées.

L’une des principales causes des cyberattaques est le shaddow IT, à savoir l’utilisation de technologies matérielles et logicielles par les employés de l’entreprise sans l’accord de la DSI (cf. Figure 2). La crise sanitaire du COVID-19 n’a fait qu’amplifier l’exposition aux risques. L’AMRAE estime dans son enquête LuCy à 50% les attaques liées à une erreur humaine.

En effet, la généralisation du télétravail liée à la crise du COVID-19 ou bien l’utilisation de systèmes (ex. applications, serveurs) hébergés dans le cloud – à savoir hors de l’entreprise chez des prestataires extérieurs – amplifient largement le risque de cyberattaques pour les entreprises. Le SaaS – « sofware as a service » – qui consiste à utiliser une application hébergée chez un tiers, est une pratique qui se répand à grande vitesse pour des raisons économiques et techniques. Ce mode de fonctionnement accroît, lui aussi, naturellement la vulnérabilité d’un grand nombre d’entreprises utilisatrices.

Les pouvoirs publics ont réagi afin de lutter contre une cybermenace persistante. On citera notamment le CyberscurityAct adopté par le Parlement européen le 12 mars 2019. Ce texte doit permettre aux Etats membres d’améliorer la réponse européenne au nombre croissant de cybermenaces.

L’adoption de ce texte permet entre autres la définition d’un cadre européen de certification de cybersécurité. Le texte détermine des processus de certification sur trois niveaux :

  • Le niveau élémentaire qui cible des objets grands publics et non critiques (ex. objets connectés),

  • Le niveau substantiel qui cible le risque médian comme les applications dans le cloud,

  • Le niveau élevé qui cible des solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et des ressources spécifiques (ex : dispositifs médicaux connectés).

L’Etat français a également lancé en 2017 un dispositif national d’assistance aux victimes d’actes de cyber-malveillance au sein de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La plateforme mise en place permet de mettre en relation des victimes de cyberattaques, notamment les entreprises ou les collectivités territoriales - et des prestataires de services susceptibles de les aider dans leurs démarches. Sur le plan réglementaire, le RGPD prévoit des sanctions financières envers les entreprises responsables d’une faille de sécurité ayant provoqué un vol de données personnelles (jusqu’à 20 M€).


Pour répondre aux nouveaux besoins des entreprises en matière de couverture, la plupart des grandes compagnies d’assurance propose des produits adaptés à ces risques. Les taux de couverture sont aujourd’hui très hétérogènes : 87% des grandes entreprises mais seulement 8% des ETI, moins de 0,01% pour les PME (Enquête LuCy de l’AMRAE).


Le marché mondial des cyber-risques est en hyper-croissance et on estime qu’il pourrait atteindre 20 Mds USD en 2025 contre 7 Mds USD en 2020.

Pour autant, le marché français bien qu’en forte croissance, reste marginal : 130 M€ en 2020 contre 87 M€ en 2019 (4) et constituent une formidable opportunité de développement sur le middle market qui justifie d’intenses efforts de pédagogie pour éviter de revivre le terrible épisode des Pertes d’Exploitation.. L’étroitesse du marché ne permet pas de conclure sur l’équilibre technique du risque encore hypervolatile.


Les cyber-assurances incluent des garanties et de l'assistance qui sont mises en œuvre en cas de cyberattaque.

On note en général trois types de garanties :

  • Les garanties cyber-dommages qui protègent les activités de l'entreprise contre les pertes d'exploitation,

  • Les garanties cyber-responsabilité qui prennent en charge les sinistres liés aux atteintes à la sécurité informatique et aux données personnelles tierces,

  • Les garanties de gestion de crise qui servent à préserver l'activité de l'entreprise en cas de sinistre, ainsi que sa réputation auprès de ses clients et fournisseurs. Elles peuvent également prendre en charge certains frais de négociation.


Les plafonds de couverture sont très variables et dépendent notamment des risques pris en charge. On note toutefois que les plafonds dépassent très rarement 200 M€. L’assistance proposée par certains assureurs en cas de sinistre comprend notamment :

  • Prise en charge des honoraires au titre de l’assistance technique,

  • Prise en charge des frais liés au prestataire chargé de remettre en fonction le système d'information,

  • Prise en charge des frais de communication suite aux dommages réputationnels,

  • Accompagnement dans les démarches avec la CNIL,

  • Aide d'experts en cybersécurité,

  • Prise en charges des frais d’avocats spécialisés en cybercriminalité (protection juridique).

Les primes varient selon le chiffre d’affaires, le niveau de garantie et l’infrastructure sécurité déjà présente au sein de l’entreprise. Par exemple, une entreprise ayant investi sur la mise en place d’outils et d’infrastructures cybersécurité, ou sur certaines certifications (ex. Norme ISO 27000), verra en principe ses primes d’assurance diminuer.


L’un des défis pour les assureurs réside dans le calcul des primes proposées à leurs clients du fait du manque de données sur la sinistralité et de l’état évolutif des vulnérabilités des systèmes d’information.


Il faut noter que la majorité des entreprises sont couvertes au sein de contrats non spécifiques avec d’importantes limites de garantie. L’enjeu pour le secteur sera de convaincre de la nécessité de souscrire un contrat ad-hoc pour optimiser la couverture et déployer des mesures de prévention.


Nos recommandations pour assurer un développement vertueux sur ce marché


La première étape consiste à revoir l’ensemble des contrats d’assurance pour évaluer les couvertures cyber silencieuses intégrées, leur portée et leur limites. Sur cette base, il sera opportun de rencontrer les clients pour établir un mini-diagnostic de vulnérabilité et orienter chaque fois que possible vers un contrat dédié (cf. Figure 3).


En cas d’attaque, la perte financière peut être élevée mais les coûts indirects liés à la désorganisation sont mal appréhendés et surtout s’étalent dans le temps.

Aussi, le rôle de l’assureur consiste à mettre en œuvre toute une panoplie de services avant et après sinistres pour protéger au mieux les intérêts de son client.

Au-delà des classiques garanties d’assistance pour accompagner le redémarrage, toutes les mesures de prévention sont de nature à renforcer l’utilité de l’assureur :

  • Audit de sécurité et simulation d’attaques,

  • Formation des collaborateurs au risque cyber,

  • Partage des meilleures pratiques.

En aval, des partenariats avec des sociétés proposant des systèmes de cybersécurité permettront de proposer des services adaptés, performants et compétitifs.


Les risques cyber évoluent à grande vitesse tant dans leur nature que dans leur portée. Il est donc absolument nécessaire de prévoir une révision régulière des garanties pour assurer une protection optimale.



 

Source : (1) Baromètre de la cybersécurité 2020 du CESIN et OpinionWay. Etude menée auprès de +200 entreprises de toute taille et toute industrie.

(2) Plusieurs réponses possibles, sélection des résultats supérieurs à 25%.

(3) Hiscox Cyber Readiness Report 2020

(4) Etude LUCY de l’AMRAE – Edition 2021

Comments


Nos solutions

bottom of page