En France, près de six entreprises sur dix disent avoir été victimes d’une cyberattaque l’an dernier, selon une enquête réalisée par la DFCG (association nationale des directeurs financiers et de contrôle de gestion) et Euler Hermes. Pourtant pour l’heure, peu d’entreprises françaises sont assurées contre ce risque. L’an dernier, le chiffre d’affaires des cyberassurances était évalué à 50 millions de dollars par la Fédération française de l’assurance (FFA) et à 300 millions de dollars au niveau européen. Un montant sans commune mesure avec les 3 milliards de dollars de chiffre d’affaires aux États-Unis! « La réglementation liée aux données personnelles est stricte aux États-Unis depuis 2004. Les entreprises sont donc sensibilisées au vol des informations de leurs clients et s’assurent contre ce risque », justifie Christophe Zaniewski, directeur général d’AIG France, l’un des leaders français de la cyberassurance.
En France, la réglementation sera durcie l’année prochaine. Les entreprises victimes de cyberattaques devront en informer la Commission nationale de l’informatique et des libertés (CNIL) et leurs clients (si leurs données ont été détournées). Ce qui risque d’inciter de plus en plus d’entreprises à s’assurer.
Quelles sont les entreprises les plus vulnérables? « Deux types d’entreprises sont particulièrement vulnérables. Les sites marchands non professionnels de l’informatique, et les fournisseurs de logiciels et leurs sous-traitants. Dans ce cas, il s’agit de SSII, de fournisseurs d’accès à Internet ou d’entreprises de télécommunications », explique François Nédey, directeur technique assurances de biens et de responsabilités d’Allianz France. « Les premiers ne sont généralement pas assurés, contrairement aux groupes spécialisés dans l’Internet qui mettent tout en œuvre pour se protéger contre les cyberattaques ».
Les hackers cherchent généralement à pirater les données des clients des entreprises qu’ils revendront ensuite. « Les données médicales sont très recherchées et aussi chères que les données bancaires sur le darkweb », explique Paul Sterckx, directeur lignes financières et responsabilités chez AIG France, dont le chiffre d’affaires en matière de cyberassurance double tous les ans depuis deux ans. Les grandes entreprises sont en général bien couvertes. En revanche, compte tenu du prix non négligeable de ces couvertures (pouvant être équivalent à celui couvrant l’activité), les plus petites entreprises, comme les PME et les TPE souscrivent peu ce type d’assurances. Que couvrent les assurances? Tout dépend des compagnies. Les garanties les plus fréquemment souscrites, sont celles couvrant la perte d’exploitation et celles assurant la responsabilité civile de l’entreprise. « Nos polices sont mixtes et couvrent à la fois l’assistance comme la mise à disposition d’une hotline d’urgence et les frais d’experts informatiques et juridiques, les dommages subis par l’entreprise comme la perte d’exploitation et les dommages subis par les tiers comme les frais de défense suite à atteinte aux données personnelles », explique Sophie Parisot, responsable produit cyber chez AIG-France. « Nous prévoyons aussi une couverture de la perte d’activité de l’entreprise. On peut aussi couvrir la responsabilité civile. Cette garantie est plus complexe à mettre en place car il faut évaluer les risques de propagation via l’entreprise. », souligne-t-elle. « Nous allons assister à une augmentation de la fréquence et de la sévérité des cyberattaques. La question de la capacité d’assurer ces risques se posera alors. », explique François Nédey.
Le paiement d’une rançon est-il remboursable? Quelques contrats remboursent le paiement d’une rançon. C’est le cas par exemple de ceux d’AIG (certains incluent toutefois une franchise). « Mais nous sommes là avant tout pour aider les entreprises à sécuriser rapidement la situation et à faire en sorte qu’elles n’aient pas à payer de rançon », précise Christophe Zaniewski.