S’assurer contre une cyber-attaque, mode d’emploi

Essor du piratage et changements législatifs incitent de plus en plus d’entreprises à se tourner vers les assureurs, pour se protéger contre les éventuels préjudices d’une cyber-attaque. Guide pratique.

Les « cyber-assurances » sont des assurances professionnelles qui permettent de se prémunir contre les éventuels préjudices d’une cyber-attaque. Elles sont destinées à tout type d’entreprises, de la PME au grand compte. Marché de niche oblige, ces contrats sont plutôt vendus par des acteurs spécialisés d’origine anglo-saxonne, comme Hiscox ou XL Group. « Aujourd’hui un contrat complet couvre les préjudices liés à la responsabilité civile, aux coûts de notifications, à la perte de chiffre d’affaire et aux frais de dysfonctionnement », explique Luc Vignancour, directeur adjoint chez Marsh, un courtier en assurance. Même la perte d’image peut être assurée, l’assureur s’engagera alors sur les frais en communication et marketing.

Ces contrats sont loin d’être standards et nécessitent une évaluation du risque au cas par cas, d’où découleront le niveau des indemnités et la hauteur de la prime annuelle. Dans une grande entreprise, l’assureur ou le courtier se mettra en relation avec le Risk Manager de l’entreprise pour effectuer cette évaluation.

Anonymous, LulzSec, AntiSec, réseaux mafieux, etc. L’émergence de cette nouvelle génération de hackers, plus organisés et plus professionnels, amènent les entreprises à se tourner vers les produits d’assurance pour diminuer leur risque financier.

Un changement législatif dans l’espace européen incite, par ailleurs, les assureurs à se positionner. Adoptée le 25 novembre 2009 et transposée en France depuis 24 août dernier, la directive européenne 2009/136/CE oblige les opérateurs et les FAI de notifier auprès de leurs clients toute violation de leurs données personnelles.

Une obligation que Viviane Reding, vice-présidente de la Commission européenne, souhaite élargir dans les prochains mois à l’ensemble des secteurs économiques. Or, « les frais les plus lourds dans un dossier de cyber-attaque sont ceux liés aux expertises informatiques et aux notifications », souligne François Brisson, souscripteur Assurances professionnelles chez Hiscox France.  

Cela dépend de l’entreprise, de son secteur économique, du pays et de son cadre réglementaire, etc. Mais cela peut monter très vite. Aux Etats-unis, on estime que les notifications aux clients – qui y sont obligatoires depuis presque dix ans – génèrent un coût entre 20 et 200 dollars par enregistrement. La facture est particulièrement élevée quand il s’agit de données bancaires, car les entreprises doivent non seulement avertir leurs clients, mais aussi s’assurer qu’ils ne se font pas piquer d’argent (credit monitoring). Or, les cyber-attaques peuvent facilement compromettre les données de milliers, voire de dizaines de milliers de clients !

Exemple : l’attaque à répétition contre le réseau Playstation Network de Sony qui a généré la perte de 80 millions de données clientes. Elle coûtera au groupe nippon plus de 173 millions de dollars, en raison de la perte d’exploitation, de la mise à jour des systèmes, des dédommagements des clients, des recours de tiers, etc. Dans ce cas, les effets de la cyber-attaque sont donc comparables à ceux d’un accident industriel majeur.

C’est loin d’être donné. Le marché français des cyber-assurances étant tout récent, il n’existe pas d’historique, ni de statistiques actuarielles. Un assureur va s’engager au maximum sur 10 millions d’euros d’indemnisation, ce qui sera trop peu pour une grande entreprise. « Un groupe du CAC 40 devra donc travailler avec plusieurs compagnies qui se partageront le risque », explique Luc Vignacour.

Par ailleurs, les primes annuelles sont plutôt élevées, « entre 5 et 10 % du montant d’indemnisation », estime le directeur adjoint. Par comparaison, la prime d’une assurance habitation est de l’ordre de 0,01 % du montant assuré. Là encore, cela s’explique par le caractère récent et risqué des cyber-assurances.