Les cyber-attaques les plus coûteuses sont causées par des dénis de services, des codes malicieux et des malveillances internes. Elles représentent plus de 55 % des coûts annuels par organisation. Sur une base annuelle, le vol d’informations représente 40 % des coûts externes. Et les coûts induits par une interruption de service ou une perte de productivité représentent 38 % des coûts externes.
Les objectifs d’une entreprise qui s’assure sont de protéger son bilan, de préfinancer le plan de réponse à l’incident, de disposer des experts partenaires de l’assureur pour faire face à l’attaque, et de sauvegarder sa réputation. Celles qui s’intéressent à la cyber-assurance ont intégré la sécurité du SI et des données à leur gestion des risques. Elles souhaitent se procurer une couverture financière en cas d’incident, que ce soit en assurance dommages (aux biens) ou en responsabilité civile (obligation de réparer le dommage causé à autrui : vis-à-vis de clients, de tiers). Pour évaluer la pertinence de la souscription à une cyber-assurance, le DSI, le directeur des risques ou le directeur financier doivent effectuer une analyse des risques et des garanties existantes avant de choisir, en fonction de la sensibilité aux risques de l’entreprise.
Chiffrer l’impact d’un incident
Ils doivent chiffrer l’impact d’un incident potentiel, en prenant en compte tous les coûts, cachés ou non : coûts de gestion de crise, de reconstitution du SI, contentieux avec des partenaires ou des clients, recours à des prestataires. «40 % des problèmes de vol de données d’une entreprise proviennent d’un prestataire tiers», signale François Brisson, responsable de marché technologie médias France, Hiscox. Ils doivent prendre en compte également un certain nombre d’indicateurs : la taille de l’entreprise, sa réputation, le nombre de tentatives d’intrusion, le niveau de confidentialité des données (données sensibles de l’entreprise : données financières, données personnelles des clients, données médicales…), existence ou non d’un plan de continuité d’activité, la sensibilité du secteur d’activité (plus forte dans les télécoms, le e-commerce…), la valorisation des données. La valeur d’une donnée est fonction de sa qualité et est fluctuante dans le temps : elle peut être fortement valorisée lors de son acquisition, puis diminuer en valeur jusqu’à son obsolescence. La majorité des cyber-attaques visent à récupérer les données personnelles de clients particuliers. Le coût financier d’un vol de données personnelles est à estimer, sachant que le coût de notification est évalué en France à 20 à 30 euros par client, selon Solucom. «Il existe des réseaux parallèles où se revendent au marché noir les données personnelles. Une ligne d’information peut y être revendue dix euros,» fait remarquer Clotilde Zucchi.
« C’est le rôle du DSI de se mettre en lien avec le directeur des risques pour envisager une couverture assurantielle. » Clotilde Zucchi, XL Group
Concernant les attaques visant au déni de service, il faut évaluer la perte de chiffre d’affaires sur une période donnée. Quant au vol de propriété intellectuelle à l’entreprise, il est nécessaire de mesurer l’impact en termes de performance commerciale, d’innovation. De plus, un incident peut en cacher un autre, une attaque pouvant avoir pour but de déceler les failles du SI avant une autre plus efficiente.
«La sensibilisation passe par la prise de conscience des risques, met en avant Clotilde Zucchi. Si les RSSI ont une grande conscience des risques et savent les traiter de façon opérationnelle, c’est le rôle du DSI de se mettre en lien avec le directeur des risques pour envisager une couverture assurantielle. De bonnes pratiques en matière de sécurité IT n’empêchent pas de s’assurer, et vice-versa. C’est complémentaire s’il y a une concertation du travail du DSI et du directeur des risques pour gérer les conséquences des incidents. Un contrat de cyber-assurance ne vient pas remplacer une sécurité défaillante, il est criminel’ de ne pas protéger ses données. Nous travaillons avec des experts et le service informatique de l’entreprise sur la mise en œuvre du système de prévention et de protection du système d’information.»
Gérôme Billois, Solucom, ajoute : «Les PME visent un montant de couverture intermédiaire avec une faible franchise – la part des frais qui reste à la charge de l’assuré après un sinistre – tandis que les grandes entreprises optent pour une franchise élevée, souhaitant être assurées contre le vrai gros coup dur.»
La cyber-assurance en France
• Capacité du marché (montant maximum de couverture) : ± 20 M€ par assureur, possibilité d’aller jusqu’à plus de 150 M€ en contrat multi-assureurs.
• Prime : 1 à 5 % du montant annuel garanti. Des montants élevés par rapport aux assurances traditionnelles, compte tenu de la faible maturité du marché et du nombre de sinistres de plus en plus important.
• Franchise : de 200 k€ à plus de 1M€ pour les grands comptes (à partir de 5 k€ pour les PME).