LE 2e RISQUE le plus redouté par les entreprises
L’année 2017 aura été marquée par plusieurs attaques i nformatiques majeures au retentissement mondial, notamment les rançongiciels (ransomware) WannaCry et Petya. Dans ce contexte, il peut paraître logique que les incidents « cyber », tels que les piratages, les défaillances informatiques et les vols ou les pertes de données, grimpent à la deuxième place des risques auxquels sont exposées les entreprises, selon le baromètre mondial 2018 de l’assureur Allianz. En un an, le risque cyber a grimpé de la 3e à la 2e place, devant les catastrophes naturelles, qui n’ont pourtant pas faibli l’an dernier (ouragans Harvey, Irma et Maria notamment) : il est cité par 40% des sondés (plus de 1 900 clients, courtiers, consultants, spécialistes des risques dans 80 pays) et talonne désormais le risque d’interruption d’activité, liée par exemple à une rupture de la chaîne logistique, retenu par 42% des interrogés. Il y a cinq ans, les incidents cyber étaient nº 15 dans ce baromètre, relève Allianz.
DES SOCIÉTÉS DÉPENDANTES DU NUMÉRIQUE
« Pour la première fois, les interruptions d’activités et les incidents cyber sont au coude à coude dans le baromètre des risques d’Allianz, et ils sont de plus en plus interdépendants », analyse Chris Fischer Hirs, directeur général d’Allianz Global Corporate & Specialty (AGCS), la filiale d’assurance des grands risques industriels. « Qu’ils soient dus à des attaques comme celle de WannaCry, ou plus fréquemment aux défaillances de systèmes, les incidents cyber sont une cause majeure d’interruption d’activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. » Peut-être parce que l’attaque sans précédent WannaCry a touché des entreprises françaises, dont Renault, le risque cyber est aussi pris très au sérieux en France : il est cité par 46% des sondés (contre 27% un an plus tôt), juste derrière l’interruption d’activité (47%). « À l’ère de l’industrie 4.0, alors que les entreprises dépendent de plus en plus du numérique pour gérer leurs chaînes logistiques, elles doivent faire face à une nouvelle menace, l’interruption d’activité après une cyberattaque », relève Corinne Cipière, CEO d’AGCS France. Dans d’autres pays, la crainte est encore plus élevée. Dans la région Amériques, le risque cyber est même désormais n° 1 (cité par 42% des sondés contre 31% un an auparavant). Idem en Australie, en Inde, à Sin- gapour, et dans plusieurs pays européens : Autriche (70%), Royaume-Uni (60%), Belgique (43%). « Le risque d’événements appelés “cyber ouragans”, au cours desquels des hackers perturbent un grand nombre d’entreprises en visant leurs infrastructures communes, continuera d’augmenter en 2018 » , pointe l’étude d’Allianz.
LE PRINCIPAL DANGER À LONG TERME
Si le risque cyber dans son ensemble est « le risque le plus sous-estimé et le principal danger à long terme » selon l’assureur, les entreprises européennes auraient tendance à en minimiser certains aspects. « Par rapport aux États-Unis, où la réglementation est déjà stricte, en Europe les entreprises sont moins sensibilisées aux risques pour la vie privée », estime Emy Donavan, directrice mondiale de l’assurance cyber chez AGCS. « Nombre d’entre elles comprendront vite, lorsque le RGPD [Règlement général sur la protection des données, qui entre en vigueur dans toute l’UE en mai prochain, ndlr] sera pleinement applicable, que les questions de confidentialité peuvent engendrer des coûts élevés. L’expérience a montré que la gestion d’une crise cyber telle qu’une intrusion a un impact direct sur les coûts, mais aussi sur la réputation et la valeur boursière d’une entreprise. Ce sera encore plus le cas avec l’application du RGPD ». Plusieurs secteurs ont placé le risque cyber en tête de leurs préoccupations depuis quelques années, notamment ceux de la technologie elle-même (59%) et des télécoms (77% contre 60% un an plus tôt). Il est intéressant de noter qu’il a grimpé en flèche dans le secteur de la finance (51% des sondés, contre 40 % l’année précédente), devançant les évolutions de marché (concurrence accrue, nouveaux entrants, fusions et acquisitions, etc.) et les changements réglementaires, n° 2, mais cités par seulement 28 % des sondés. L’assureur relève par ailleurs que le risque cyber peut être différent en fonction de la taille des entreprises : « Les petites entreprises peuvent être compromises si elles font l’objet d’une attaque par ransomware, tandis que les grandes entreprises sont généralement visées par des menaces d’une autre envergure, comme les attaques par déni de service, qui peuvent perturber gravement les systèmes », observe Emy Donavan. Mais la prise de conscience est là : « La sensibilisation aux risques cyber dans les PME progresse, avec un saut important de la 6e à la 2e place pour les petites entreprises, et de la 3e à la 1ère place pour les entreprises moyennes », souligne le baromètre.