La multiplication des cyberattaques au rançongiciel ces deux dernières années, ou l’incendie au sein du data center d’OVH le 10 mars 2021 (ou 3,6 millions de serveurs web représentant 464 000 noms de domaines ont brulé impactant les services de 12 à 16 000 clients, dixit Netcraft), s’inscrivent dans la lignée des nouveaux risques des entreprises liés à leur transformation digitale. Dans ce contexte, la question des cyber-assurances devient névralgique, puisque les besoins de couverture et les demandes d’indemnisation augmentent de manière exponentielle. Il s’agit donc de savoir comment les entreprises peuvent-elles protéger leurs systèmes informatiques et leurs données, et couvrir au mieux les risques de sinistres, intentionnels ou non, par l’intermédiaire des cyber-assurance ?
L’incendie de Strabourg a permis d’établir, qu’au-delà de la responsabilité contractuelle de l’hébergeur de données, les entreprises sont directement responsables de la protection de leurs données vis-à-vis de leurs clients. Il est donc important de comprendre ce que couvre ou peut couvrir une assurance cyber-risque et pourquoi en souscrire une.
Que couvre une assurance cyber-risque ?
Il existe deux natures d’évènements informatiques dommageables : un évènement involontaire (erreur humaine, accident), ou des attaques informatiques. Il peut donc s’agir de panne des systèmes, de faille de sécurité, de rançongiciel, de phishing, de pertes de données, de virus informatique, etc.
Ces évènements sont susceptibles de porter atteinte à l’intégrité, la disponibilité et la confidentialité des données détenues par l’entreprise.
La donnée est cependant considérée par les assureurs comme un bien immatériel, avec des atteintes immatérielles. Mais ces dommages immatériels peuvent se propager, et causer des dommages matériels. Tel est le cas, par exemple, d’une cyberattaque par rançongiciel qui paralyseraient les systèmes d’information d’une entreprise en échange d’une rançon, qui ne pourraient plus fonctionner et subirait une perte d’exploitation. Cette perte d’exploitation constitue bien une atteinte tangible et financière pour l’entreprise.
Les contrats d’assurance classiques couvrent généralement les dommages financiers subis par l’entreprise, mais il est aussi nécessaire de couvrir les autres dommages, tels que la perte de données, le vol de données, les atteintes à la réputation de l’entreprise, les réclamations provenant de tiers. Ce qu’un contrat d’assurance cyber-risque peut généralement réaliser.
Pourquoi recourir à une assurance cyber-risque ?
Une cyber-attaque qui atteint son objectif peut entraîner des coûts importants pour une entreprise. Outre, le paiement d’une rançon dans le cadre des rançongiciels, de nombreux coûts supplémentaires sont à prendre en compte. Une cyber-attaque peut nécessiter l’intervention d’experts : de juristes pour effectuer les notifications aux autorités de contrôle, comme les notifications de violation de données auprès de la CNIL, des informaticiens pour détecter et évaluer les failles, restaurer les systèmes d’information et corriger les faiblesses de sécurité, des consultants en relations publiques pour gérer la communication avec les médias et le grand public si cela s’avère nécessaire. Tous ces coûts supplémentaires peuvent être couverts par une assurance.
Mais dans les faits, les assurances réduisent ces couts supplémentaires. Si officiellement l’Agence nationale de la sécurité des systèmes d’information (Anssi) et les autorités intiment de ne pas payer les rançons liées aux rançongiciels, un assureur effectuera rapidement le meilleur calcul pour gérer le risque. Payer une rançon peut être apprécié comme moins couteux que le montant engendré par une perte quotidienne de chiffre d’affaires. Ainsi, la souscription d’une assurance cyber-risque permet pour une entreprise de minimiser l’impact d’une attaque ou d’un accident informatique. Les TPE et les PME constituent des cibles vulnérables, pour lesquelles un tel évènement peut provoquer un arrêt brutal d’exploitation.
Néanmoins, les cyber-assurances nécessitent une prise en main rigoureuse en amont de la la sécurité informatique. Les entreprises victimes d’un préjudice devront démontrer qu’elles ont mis en œuvre des mesures techniques et organisationnelles suffisantes, comme le prévoit le RGPD et souvent leur police de cyber-assurance, pour assurer la couverture de leurs systèmes informatiques et de leurs données.