En 3 mois, les entreprises ont investi plus de 124 milliards pour se protéger
contre les risques de cybercriminalité. Décryptage avec Stéphanie Pierret
Ransomware, hacking, virus. Les attaques malveillantes visant des sociétés et des
institutions financières se multiplient. En 3 mois, les entreprises ont investi
plus de 124 milliards pour se protéger contre les risques de cybercriminalité.
Mais elles n’ont pas toutes les moyens d’enrôler des armées d’experts en «cybercrime».
Reste la possibilité de s’assurer contre ces nouveaux risques. Décryptage avec
Stéphanie Pierret, responsable Financial Lines chez B.C.D.T.
ZONE D’OMBRE
Juin 2017, Mondelez est victime de la cyberattaque planétaire NotPetya qui paralyse
de manière permanente une partie de son parc informatique. Elle estime le montant
des préjudices à 100 millions de dollars US. Zurich refuse d’indemniser le groupe
alimentaire. L’argument de l’assureur: l’exclusion «d’actes hostiles ou guerriers».
Mondelez a porté le cas devant les tribunaux. «Dans ce cas, le litige ne porte pas
sur une assurance cyber mais sur un contrat Property (Choses)», explique Stéphanie Pierret.
Les assureurs sont inquiets de leur exposition non-désirée aux cyber-risques dans
des contrats d’assurance classiques. Les assurances cyber couvrent principalement des
dommages non tangibles, contrairement aux assurances portant sur les objets matériels.
Des nouvelles extensions hardware commencent à voir le jour dans les polices cyber,
mais il reste encore des zones d’ombre.
DARKWEB: LE PORTAIL DES DONNÉES VOLÉES
A l’évocation des cyberattaques, nous imaginons des activités en ligne paralysées,
mais aussi, comme on a pu le constater avec Wannacry, des chaînes de productions bloquées.
Ces risques concernent toutes les industries. Certains dégâts sont plus difficilement
quantifiables, comme les vols de données confidentielles. Selon Ernst & Young,
entre 2017 et 2018, près de 2 milliards de données sensibles ont été compromises.
«Les assurances ne vont pas couvrir le dommage d’image, mais bien les frais relatifs à
l’identification des dispositions légales applicables, à la mise en place d’un call center
visant à informer les personnes concernées ou encore les frais de communication dans la presse»,
relève Stéphanie Pierret. Lors de piratage de numéros de cartes de crédit, les assurances
peuvent couvrir la mise en place de mécanismes visant à surveiller pendant deux ans toutes
activités suspectes pour empêcher des transactions frauduleuses sur le darkweb, où
les pirates revendent ce type de données subtilisées.
«Pas mal de banques sont déjà assurées.
Pour les PME, on est encore au début de l’aventure».
Avec la RGPD (Règlement général sur la protection des données), on ne badine pas avec les
informations sur ses utilisateurs, comme Google en a fait l’expérience. En 2019, la GAFA
a été condamnée à payer une amende exemplaire de 50 millions d’euros. «Les entreprises peuvent
être amendées jusqu’à 4% de leur chiffre d’affaires. Cela peut également être pris en charge
par les contrats d’assurance cyber, même si l’assurabilité des amendes civiles fait l’objet
de débats», explique Stéphanie Pierret.
UN MARCHÉ EN ESSOR POUR LES PME
Les assurances contre les fraudes existent depuis très longtemps, allant de la fraude des employés
jusqu’à celles des tiers, en passant par les faux dans les titres. Avec l’évolution des technologies,
les assurances cyber ciblent de nouvelles menaces que toutes les entreprises considèrent aujourd’hui
comme importantes. «Il y a une distinction entre les grandes sociétés et les PME. Pas mal de banques
sont déjà assurées. Pour les PME, on est encore au début de l’aventure». Avec des produits d’entrée
de gamme allant de 700 à 800 francs par année, elles peuvent se protéger comme les grandes sociétés.
Au-delà d’actes malveillants des pirates informatiques, les cybers assurances couvrent également les
incidents des employés quelques peu distraits. Selon la dernière étude EY Global Information
Security Survey, 6,4 milliards d’emails frauduleux sont envoyés quotidiennement: «La faille humaine
reste le plus grand risque», souligne la spécialiste qui cite l’exemple de l’employé qui publierait
malencontreusement des données sensibles sur le site internet de l’entreprise au lieu de l’intranet,
ou qui oublierait une clef USB hautement confidentielle dans le train Lausanne-Genève.
Article paru sur ” AllNews.ch “
Inscrivez-vous à notre newsletter
et recevez nos dernières infos
