S’assurer contre les cyberattaques, est-ce bien raisonnable ?

Face à la multiplication des sinistres et des attaques, les cyber-assurances n’assurent pas forcément. Non seulement elles imposent des conditions de souscription drastiques, mais en plus, elles se défaussent régulièrement des demandes d’indemnisation comme dans le cadre de « l’affaire CrowdStrike ». L’arrivée de nouvelles règlementations européennes sur la cyber-protection suffira-t-elle à convaincre les entreprises de souscrire à ces polices ?

Un an après le bug engendré par une mise à jour du client EDR « Falcon » de CrowdStrike sous Windows le 19 juillet 2024, le slogan glissé en bas de son communiqué (daté du 3 juin dernier) est savoureux : « CrowdStrike : nous stoppons les brèches ». Pas ce jour-là en tout cas : près de 8,5 millions de machines Windows sont impactées. Certes, c’est moins de 1 % du nombre de PC actifs dans le monde. Mais les conséquences économiques mondiales de la panne se chiffrent à environ 15 Md$, selon Jonathan Hatzor, DG de Parametrix, fournisseur de services de surveillance, de modélisation et d’assurance dans le domaine du Cloud, répondant à Reuters et cité par le site Next.
Selon cette même source, le domaine de la santé subit une perte d’à peu près 2 Md$, à cause d’interventions médicales reportées ou annulées.
Les banques et les institutions financières essuient un préjudice estimé entre 2,3 et 3,1 Md$, selon la société spécialiste du cyber-risque Kovrr.
Et le secteur aérien est fortement touché également : la compagnie américaine Delta Air Lines annule par exemple plus de 7 000 vols, affectant 1,3 million de passagers. Perte estimée : 550 M$ en raison d’annulations, de retards, de chambres d’hôtel pour leurs clients…

Bras de fer entre clients et prestataires

Dès les jours suivants le bug, les spécialistes de la cyber-assurance se sont penchés sur ses conséquences potentielles pour leurs activités. Verdict, la panne pourrait coûter jusqu’à 1,5 Md$ affirmait rapidement le cabinet d’analyse CyberCube, spécialisé dans la sécurité informatique, « ce qui en ferait le plus gros sinistre individuel dans le secteur encore jeune de la cyber-assurance. Mais si c’est bien un événement majeur pour ce marché, il est loin du potentiel destructeur pour lequel les grands assureurs mettent des capitaux de côté. »
Pour sa part, l’assureur Parametrix avait estimé les dommages assurés entre 540 M$ et 1,08 Md$ pour les seules 500 plus grandes entreprises américaines.

Un Md$ d’indemnités vs 15 Md$ de dégâts ? La couverture par les assureurs d’un tel incident est complexe : bon nombre d’entre eux refusent d’indemniser au titre de la cyber-assurance, arguant qu’il ne s’agit pas d’une attaque malveillante, mais d’un simple bug. Mais le ratio a fait s’étrangler nombre d’entreprises qui se pensaient à l’abri grâce à leurs primes chèrement payées. C’est pourquoi Delta Air Lines s’est aussi rapidement tournée vers le responsable selon elle, à savoir CrowdStrike.

La compagnie aérienne a engagé une action en justice contre l’éditeur, cherchant à établir une faute ou une négligence de sa part. « En l’absence de couverture de la cyberassurance, d’autres formes d’assurance pourraient être engagées, mais elles présentent d’importantes limitations », relève Eric Brétéché, responsable du marketing produit pour la France chez l’éditeur de solutions SaaS pour assureurs Guidewire, qui poursuit : « Ainsi, l’assurance responsabilité civile professionnelle pour erreurs et omissions (Errors and Omissions Insurance, E&O), comme celle de CrowdStrike, qui couvre les fautes techniques ou négligences professionnelles, pourrait être activée si une négligence est juridiquement reconnue, mais les indemnisations seraient alors soumises aux plafonds de garantie et exclusions contractuelles. »

Le feuilleton Delta Air Lines vs CrowdStrike risque de rester à l’antenne un moment. Fin mai dernier, un juge de Géorgie a par exemple autorisé la compagnie aérienne à poursuivre l’éditeur, en plus de la plainte pour négligence, pour intrusion informatique et pour fraude limitée. Tandis que le même jour, CrowdStrike contre-attaquait par une action visant à limiter sa responsabilité contractuelle, en s’appuyant sur les clauses prévues dans leur accord.

Panachage de polices d’assurance

C’est un bel imbroglio. Pourtant, explique Philippe Cotelle, administrateur de l’Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae) et président de sa commission cyber, « en principe, un événement comme CrowdStrike reste couvrable. Les polices d’assurance cyber indemnisent en général ce type d’incident. Mais pas certaines, soit par méconnaissance, soit parce que la compagnie de l’assuré a choisi de ne pas le faire. »

Il est donc impératif, lors des négociations avec son assurance, d’établir un panorama des risques que l’entreprise veut garantir. Les grandes entreprises passent « quasi systématiquement par un courtier, qui joue à la fois un rôle de conseil et d’agrégateur, indique Philippe Cotelle, parce que les programmes d’assurance sollicitent un portefeuille d’assureurs pour couvrir, ensemble, le risque ».

Certaines grosses sociétés panachent ainsi les polices d’assurance cyber, parfois jusqu’à 20 ou 30, chacune couvrant un montant spécifique : « Il va par exemple y avoir une première tranche jusqu’à 10 M€, détaille Arnaud Martin, vice-président du Cesin, puis des tranches supplémentaires de 5 ou 10 M€, afin d’atteindre le niveau de couverture souhaité, parfois jusqu’à 100 M€ ». Ce panachage est devenu une pratique classique pour adapter la couverture aux besoins spécifiques de chaque entreprise.

Même les ETI utilisent les services de ces courtiers. En revanche, les PME n’ont souvent comme interlocuteur que l’agent d’assurance de la région, parfois moins au fait des cyber-risques. Il faudrait pourtant pouvoir aider ces petites entreprises. Surtout que, échaudées par les vagues de sinistralités des années 2020 à 2022, les compagnies d’assurance ont musclé leurs exigences en échange de leurs couvertures.
Elles imposent des audits garantissant un niveau de sécurité élevé pour les plus grosses entreprises tandis que pour les petites, il s’agit bien souvent d’un questionnaire détaillé, fondé sur la bonne foi. Une mesure qui n’est pas forcément saugrenue pour Philippe Cotelle : « c’est comme dans la vie : il y a bien des assureurs qui demandent des portes blindées et des fenêtres renforcées, etc. Et vous prenez tout de même l’assurance habitation. »

« L’objectif de ces audits, renchérit Eric Brétéché, c’est de faire baisser le niveau de risque à un niveau en quelque sorte standard, avec des bonnes pratiques de sécurité suffisantes pour que ce risque devienne assurable. L’idée est d’évaluer le niveau de maturité en termes de cybersécurité pour que la menace, qui ne peut jamais être à zéro, soit toutefois réduite et évaluable de façon que l’on puisse calculer la prime en face et que l’entreprise soit tout simplement assurable. »

Un début de maturité

De fait, une nouvelle maturité gagne le domaine de la cyber. En témoignent les observations de l’étude LUCY (Lumière sur la CYberassurance), publiée chaque année par l’Amrae. Dans le sillage de 2023, elle révèle une hausse du nombre de sociétés ayant souscrit une assurance cyber, notamment chez les ETI (+32 %) et les entreprises de taille moyenne (+33 %). Quant au dernier baromètre du Club des experts de la sécurité de l’information et du numérique (Cesin), il fait état de 64 % des entreprises assurées (dont 74 % chez les grandes entreprises) qui comptent renouveler leur contrat, un mouvement en hausse de sept points par rapport à l’année précédente.

Près d’un quart d’entre elles (23 %) « ont d’ailleurs fait appel à  cette cyber-assurance dans le cadre d’une attaque », précise le Cesin. Mais il y en a tout de même 7 % qui s’interrogent sur la pertinence de renouveler leur souscription, compte tenu « de l’évolution des tarifs et de la couverture assurantielle amoindrie ».

Arnaud Martin, vice-président du Cesin, reconnaît que les exigences des assureurs pour apporter leur couverture sont loin d’être anodines pour les petites ETI et pour les PME : « Le coût de ces démarches, qui s’ajoute à celui des primes, peut freiner la souscription à une cyber-assurance, surtout dans des entreprises disposant de trésoreries limitées. D’ailleurs, le taux de couverture est nettement plus faible chez les petites entreprises, qui disposent aussi de mesures de cybersécurité moins robustes. Les assureurs adaptent leurs offres à ce segment en se fondant davantage sur des lois statistiques et des questionnaires simplifiés, mais le marché reste peu mature et la sinistralité y est en croissance. »

Nul doute que parmi les 18 % d’entreprises dont le Cesin met en évidence l’absence de couverture assurantielle, se trouvent de nombreuses petites structures. Beaucoup ne veulent plus payer les primes et préfèrent dépenser pour leur cybersécurité (voir témoignage page précédente). « Certes, leur répond Philippe Cotelle, mais même si on est un excellent pilote, cela n’empêche pas non plus le risque d’accident. La prévention est indispensable et limite significativement l’impact d’une cyberattaque. Et c’est là où l’assurance joue son rôle, en apportant une compétence technique : la remédiation, l’accès à des experts en gestion de crise à la fois juridique, de négociations, de communication… L’autre apport de l’assurance est de donner de la visibilité sur l’indemnisation financière des pertes d’exploitation. »

« La cyber-assurance reste pertinente » Pour appuyer son propos, le président de la commission cyber de l’Amrae se réfère à l’étude LUCY : « Pour la première fois depuis cinq ans, le volume global des primes diminue légèrement, avec des réductions du taux de prime annuel moyen significatives (-18 % chez les grandes entreprises) et une tendance à la réduction des franchises : le marché s’est véritablement assoupli. »

Mais gare aux signaux faibles ! Le nombre de sinistres indemnisés dans les grandes entreprises repart à la hausse, avec notamment deux dommages importants (supérieurs à 10 M€) en 2024. À cela s’ajoutent les 4 386 cyberattaques recensées par l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, soit une augmentation de 15 % par rapport à 2023. L’équilibre est fragile. La menace cyber reste bien réelle, évolutive et potentiellement destructrice. « En termes d’indemnisation, cela veut dire qu’on est toujours face à un flux d’attaques significatives qui, pour l’instant, sont parées pour la plupart. L’impact est donc plutôt mineur. Mais leur nombre augmente notablement, explique Philippe Cotelle, qui affirme que l’assurance cyber reste pertinente, d’autant plus qu’elle sera bien utilisée ».

Y voir clair dans la jungle des contrats

Pour renforcer l’adhésion à la cyber-assurance, même si nos experts observent une tendance à la simplification des contrats, des efforts restent à accomplir. Chaque assureur possède ses propres barèmes, souligne Guillaume Aksil, avocat spécialiste en droit des assurances, « les offres sont très hétérogènes, avec des montants et des durées de garantie variables selon les compagnies. Les assureurs sont souvent opaques sur les données utilisées pour calculer le montant des primes en France, tandis que leurs confrères anglo-saxons ont un train d’avance grâce à une meilleure collecte de données sur les attaques et leurs montants. »

« L’absence de standardisation se traduit aussi par des exclusions variables d’un assureur à l’autre, explique Arnaud Martin. C’est pourquoi le Cesin milite pour une grille d’évaluation cyber transparente et standardisée, idéalement à l’échelle européenne, afin d’assainir le marché et d’apporter plus de clarté, notamment pour les petites entreprises très nombreuses. »
En moyenne, on compte entre 10 et 30 exclusions par contrat, de la guerre aux conflits sociaux, en passant par l’activité illégale ou l’hébergement de données dans des clouds publics…

Les insurtech à l’affût

Ces ajustements nécessaires pour les acteurs traditionnels laissent une porte entrouverte à de nouveaux intervenants. Portés par la vague de la digitalisation, les « insurtech », contraction des mots « assurance » et « technologie », 100 % en ligne, proposent aux TPE et PME des produits d’assurance complets, focalisés sur le risque cyber, qu’elles disent travailler à diminuer.

Ironie du sort, fondée en 2021, c’est à CrowdStrike que Stoïk s’est associée depuis 2024 pour offrir une approche hybride : cette solution deux-en-un inclut couverture d’assurance cyber et outils de cybersécurité. Par le biais d’une plateforme de prévention (Stoïk Protect), elle offre une surveillance continue des vulnérabilités, une évaluation des configurations du cloud et des tests de phishing. Dotée aussi d’un centre de réponse aux cyberattaques (CERT), opérationnel non-stop, Stoïk apporte une protection active.

Même approche chez l’insurtech Dattak, fondée en 2022, qui a adopté un modèle de distribution indirect, en s’adressant aux courtiers. Ces derniers obtiennent un devis en une minute seulement. Son offre d’assurance est portée par Wakam (ex-La Parisienne Assurances).

Plus récemment, le duo constitué de Colbert Assurances, cabinet de courtage en assurances et Foliateam, spécialiste de la cybersécurité et des infrastructures informatiques managées, a également lancé un package en direction des PME et ETI, qui comprend quatre éléments : un audit (Cyberscore) pour établir le niveau de maturité cyber de l’entreprise et voir si elle est directement éligible à une couverture assurantielle ; un plan de renforcement personnalisé si nécessaire, avec déploiement d’outils de type EDR, MFA, PRA, authentification, sauvegarde immuable, ou SOC, et la sensibilisation des collaborateurs ; une couverture assurantielle incluant perte d’exploitation, cyber-extorsion, e-réputation, frais de remédiation et responsabilité civile… ; et une gestion de crise en 48h, permettant la coordination entre les équipes informatiques, juridiques et communication.

Concurrence entre conformité règlementaire et cyber-assurance ?

Arnaud Martin, vice-président du Cesin, juge positif « ces accompagnements lors des crises provoquées par une cyberattaque. Cette tendance tranche totalement par rapport à la jungle dans laquelle nous étions dans les années 2020-2021. »

Et à propos de jungle, certains n’hésitent pas à en parler concernant la réglementation. Pour rappel, adopté par le Sénat en mars dernier, le projet de loi portant notamment sur le renforcement de la cybersécurité est aujourd’hui entre les mains des députés. Ce texte transpose en droit français trois directives européennes, adoptées en décembre 2022 : la directive REC (résilience des entités critiques), la directive NIS 2 et la directive DORA (pour les établissements financiers). « La directive NIS 2 arrive à point nommé et c’est une nécessité », a commenté Vincent Strubel, le directeur général de l’ANSSI, début avril : « Ces textes vont être l’occasion de parler de cybersécurité à des petites structures et cela avant que des attaquants leur en parlent de manière moins agréable. »

Parler mais aussi agir : ces évolutions règlementaires européennes obligent les entreprises à ajuster leur cyber-protection notamment, sous peine de sanctions financières. Ainsi, NIS 2 impose des exigences accrues de protection des réseaux et des systèmes d’information à désormais environ 15 000 organisations qui seront concernées, classées en deux catégories : « entités essentielles » et « entités importantes ».

Pour Arnaud Martin, « les petites entreprises sont confrontées à un dilemme entre investir dans la conformité réglementaire, notamment avec l’arrivée de la directive NIS 2, et souscrire une cyberassurance. La pression réglementaire, qui s’applique de façon proportionnée selon la taille de l’entreprise, tend à primer sur l’assurance, car les directions financières privilégient souvent la mise en conformité pour se protéger. Cette concurrence entre conformité et assurance influence le taux de couverture, qui reste instable pour les petites entreprises tant que les nouvelles réglementations ne seront pas pleinement absorbées. »
Et il faudra près de trois ans, selon le directeur de l’ANSSI, pour que les plus petites entreprises atteignent la conformité NIS 2…

Pour autant, à terme, l’impact sera éminemment positif pour l’ensemble du spectre des sociétés, analyse Eric Brétéché, de Guidewire : « Même parmi les grandes entreprises, il y en a qui ont des systèmes informatiques vieillissants, aux logiciels obsolètes, sans plus aucun support, sans possibilité d’être patchés et donc vulnérables aux failles. »
Pour lui, ces exigences règlementaires européennes ne peuvent que renforcer la cybersécurité : « Il est clair qu’une entreprise qui s’est mise en conformité DORA, aura un niveau de sécurité qui va permettre de souscrire une assurance cyber. Clairement, cette régulation pousse vers plus de vertu en termes de sécurité. »

Maître Guillaume Aksil y voit quant à lui un enjeu de souveraineté économique : « Une entreprise fragilisée par une cyberattaque peut basculer en quelques heures. Ce sont des emplois, des secrets industriels, des flux financiers entiers qui peuvent disparaître. Ne pas anticiper, c’est exposer notre tissu économique à une déstabilisation silencieuse mais massive. »

Et l’avocat de soulever au passage la question de la responsabilité d’un dirigeant d’entreprise qui se serait abstenu de souscrire une assurance cyber, ce qui pourrait être attaqué comme une faute de gestion : « Bien qu’il n’y ait pas encore de jurisprudence, cela pourrait devenir un motif de reproche ou un moyen de pression politique au sein des entreprises. »

Pour que la cyber-assurance arrête d’être « un impensé stratégique qui coûte cher », l’avocat plaide pour qu’elle cesse d’être considérée comme accessoire. Un peu comme pour les assurances automobiles ? Pour rappel, elles sont nées avec celles-ci, mais ne sont devenues obligatoire qu’en 1958 en France quand les conséquences des accidents corporels, notamment, sont devenues trop coûteuses…

---

Quand une PME renonce à s’assurer

Parmi celles qui ont renoncé à une couverture par l’assurance, une société de transports girondine de 350 salariés. Son patron, Nicolas Guyamier, a fait une croix sur la cyber-assurance.

Pourtant, ayant subi une première cyberattaque en 2016, il avait suivi les conseils d’un opérateur national de cybersécurité et investit en 2023 près de 10 000 € dans un audit de sécurité, et autant dans des équipements de cyberprotection. Il mutualise même un DSI avec d’autres PME régionales.

Mais le 29 novembre 2023, son groupe est cyberattaqué : « Une attaque plus violente que la première, explique-t-il, à cause d’un scanner changé, qui n’a pas été sécurisé par l’installateur, avant d’être rebranché sur le réseau informatique ».

Retour au papier et au crayon et impossibilité de facturer pendant trois semaines. Et pas de cyber-assurance à faire jouer, car malgré ses efforts, sa PME a été jugée non assurable ! « Je ne veux plus entendre parler de cyber-assurance, je préfère que nous soyons résilients au sein du groupe. »

Nicolas Guyamier indique se débrouiller, à grands renforts de pentests, de formations des salariés, d’équipements de protection… Le jeune dirigeant sait malgré tout que le risque zéro n’existe pas et que son entreprise peut encore être la cible d’un attaque informatique. « Un airbag n’empêche pas l’accident », dit-il.

---

À LIRE AUSSI :

Secu

Sommes-nous devenus trop dépendants de la cyberassurance ?

La rédaction

15 Nov

À LIRE AUSSI :

Secu

15 prédictions Cybersécurité pour 2024 et au-delà

Laurent Delattre

22 Nov

À LIRE AUSSI :

Gouvernance

L’avenir des cyber assurances face au paiement des rançons

Laurent Delattre

23 Jan