Depuis 2018, de plus en plus d’entreprises ont recours à une assurance pour les risques "cyber", ou informatiques. En 2020, les attaques informatiques criminelles ont été multipliées par quatre par rapport à 2019, selon l’Agence nationale de la sécurité des systèmes d’information. Quelle est aujourd’hui la situation ?
À la faveur du confinement et de la généralisation du télétravail, les attaques se sont multipliées en 2020. Aujourd’hui, du grand groupe à la TPE, toutes les entreprises sont concernées. Plus de 90 % des attaques passent par l'email. Hameçonnage, rançongiciel, usurpation d’identités afin de récolter des données sensibles, constituent aujourd’hui près de 80 % des attaques. Les entreprises, conscientes du danger, cherchent à s’assurer. Dans ce contexte, fin 2020, dans le cadre des renouvellements de contrats, le marché de l’assurance est devenu très exigeant et a durci ses règles. Les prix des polices et les franchises ont ainsi connu des croissances imprévisibles qui ont pu atteindre jusqu’à +40 % de prime, sans négociation possible. Les assureurs ne maîtrisent pas le taux de sinistralité et ont parfois pris des déconvenues sur ce marché, car les cyberattaques engendrent des coûts importants.
Quel est le coût d’une attaque ?
L’attaque informatique peut venir de hackers anonymes via un logiciel malveillant, mais aussi de clients ou de salariés insatisfaits qui peuvent se contenter de bloquer le réseau de l’entreprise sans demander de rançon. Dans tous les cas, le coût de reconstruction des données cryptées ou perdues peut être énorme. La perte d’exploitation sur un seul sinistre peut être très élevée, en fonction de l’activité de l’entreprise. Parfois, l’entreprise peut ne pas s’en relever. C’est pour cela que l’on voit parfois passer des primes d'assurance "cyber risques" s’élever à 200 000 euros avec une franchise d’un million d’euros.
Les entreprises sont-elles suffisamment conscientes et protégées ?
Le télétravail a largement augmenté les risques. Les collaborateurs étant chez eux, sans pare-feu efficace, sans réelle surveillance de l’entreprise, les hackers s’en donnent à cœur joie. Dans une habitation, les objets de valeur sont souvent regroupés dans un coffre. Dans l’entreprise, les datas sont les éléments de valeur et, pourtant, trop souvent personne ne songe à les protéger. Les entreprises travaillent à coffre ouvert, tout peut être accessible par tout le monde.
En termes d’assurance, les situations peuvent être rapidement complexes. Il faut, par exemple, clairement distinguer le risque cyber du risque de fraude classique. Ainsi, lorsqu’une entreprise reçoit un mail avec injonction de payer à un faux Rib, est-ce une fraude qui passe par le biais d’un mail ou un véritable risque cyber ?
