Entre sensibilisation et alarmisme
La Vaudoise adopte une attitude distincte du marché de l’assurance en privilégiant l’assistance technologique aux PME
Les cyberattaques font peur. Près de la moitié (42%) des entreprises suisses victimes de cybercriminalité ont subi des pertes financières ou des perturbations de leurs activités commerciales, selon une étude de KPMG.
Si les grands groupes disposent de vastes équipes de service informatique prêtes à faire face à des actes de piratage, tel n’est pas toujours le cas d’entreprises telles que les pharmacies, les coiffeurs ou mêmes certains fiduciaires. «Nous voulons d’abord sensibiliser les PME au cyberrisque. Un trop grand nombre ont l’impression que les cyberattaques se concentrent sur les grandes entreprises et les Etats», affirme Jesus Pampin, chef du service souscription choses à la Vaudoise Assurances.
Créer un «filet de couverture»
Les cyberassurances existent depuis 2003 à Londres. Elles arrivent progressivement à maturité en Suisse et doivent encore gagner en transparence. Chaque compagnie a par exemple son propre vocabulaire et sa propre structure de produits.
L’assureur vaudois a pour ambition d’offrir un «filet de couverture». Une pharmacie qui dispose, par exemple, d’un terminal de paiement et d’ordinateurs connectés à un réseau peut être la cible de pirates. La PME court le risque de ne plus pouvoir faire fonctionner son équipement, de subir une perte de chiffre d’affaires et surtout de ne pas savoir comment réagir. Faut-il appeler son service télécom, un prestataire informatique ou son assureur?
Pour faire face au cyberrisque, la Vaudoise offre non seulement des prestations d’assurance en cas de sinistre, mais aussi une assistance technologique. Le coût est d’une centaine de francs par an, ce qui correspond à un dixième de la prime assurance inventaire commerce. C’est une particularité sur un marché de l’assurance qui en général privilégie les solutions de cyberrisque et les tarifs individuels en vertu d’une approche modulaire. La cyberpolice individuelle correspond normalement au minimum à une prime de 700 ou 800 francs ou même 5000 francs, avec des franchises élevées.
La Vaudoise offre une assistance téléphonique 24 heures sur 24 qui répond à toute demande en cas d’attaque ou de virus sur un logiciel standard, indique Jesus Pampin. Ce service n’est toutefois pas capable de fournir une aide pour une machine-outil à commande numérique. Par contre, si le directeur d’une PME a perdu son mot de passe et ne peut pas redémarrer son ordinateur ou si la caisse connectée à l’ordinateur ne fonctionne plus, alors une assistance peut être possible par téléphone.
Une extension de couverture
Si la PME qui externalise son informatique est victime d’une attaque ou d’une intrusion, une prestation d’assurance se met en route, explique Jesus Pampin. L’entreprise doit contacter l’assurance qui ensuite peut faire le choix de recourir au prestataire habituel de la PME ou donner l’adresse d’une autre société.
La Vaudoise privilégie donc une approche basée sur une assistance sous la forme d’une extension de couverture à un produit appelé assurance d’inventaire commerce. Ce dernier est à l’origine destiné à couvrir les risques d’incendie, de vol et le dégât d’eau.
D’autres assureurs emploient une autre approche. La Bâloise a lancé cet été une cyberassurance qui ne consiste pas en une extension des autres couvertures d’assurance mais en un produit individuel, selon le porte-parole du groupe rhénan. Cette solution d’assurance comprend la couverture des propres dommages comme la suppression de maliciels, la restauration de données, l’interruption d’activité ou encore le détournement du trafic électronique des paiements ou de marchandises, mais aussi les préjudices de fortune à la suite de dommages à des tiers, par exemple en cas de vol ou de publication de données de tiers. De plus, tous les coûts annexes inhérents à de tels événements tels que les frais pour retrouver l’origine des dommages ou encore les frais de réputation pour redonner confiance aux clients sont également pris en charge dans ce nouveau produit. La Bâloise cyberassurance PME peut être souscrite en ligne, ce qui la distingue aussi du marché. La prime est fonction de la situation individuelle de chaque PME selon une approche modulaire, précise l’assureur.
Besoin d’une «hygiène informatique»
A la recherche d’une couverture adéquate, la PME doit souvent répondre à des questionnaires fastidieux, et parfois très techniques. De plus, lors d’un éventuel sinistre, cet inventaire a de fortes probabilités de ne plus être à jour.
La Vaudoise ne demande pas de répondre à des questions sur l’équipement informatique avant la signature d’une cyberassurance. La PME doit toutefois faire preuve «d’un minimum d’hygiène informatique». Il s’agit pour le client de présenter des mesures préventives équivalentes à celles qui sont exigées pour le produit de cyberassurance pour les particuliers. Elles se limitent à cinq points: l’existence d’un antivirus et d’un pare-feu, des sauvegardes régulières (ce qui est automatique avec l’informatique en nuage); le mot de passe ne doit pas être évident; enfin, les mots de passe d’usine doivent être changés au moins une fois, à l’exemple du modem pour le wifi.
La limitation de la couverture de la cybersolution de la Vaudoise est à 50000 francs. Un coussin de sécurité trop modeste? Si l’entreprise a besoin de 2 millions, elle ne s’y retrouve pas.
Une attaque ne signifie pas immédiatement une perte financière
S’il y a intrusion, la PME peut faire face à des dommages aux données (vols ou destructions), à sa réputation et à son chiffre d’affaires en cas d’interruption d’exploitation. Des frais d’extorsion sont très fréquents actuellement. Le pirate effectue souvent une demande de rançon pour débloquer le système. Habituellement, il est recommandé de ne pas payer les centaines de francs exigés. Toutefois, dans des cas très spécifiques, il peut s’agir de la seule option pour pouvoir espérer une restauration des données, avoue Jesus Pampin.
Le plafond à 50000 francs est bas. Mais «nous ne pouvons pas faire un questionnaire limité, mettre des contraintes de sécurité très basses, fixer une prime à seulement 100 francs avec une assistance technologique sans prestation d’assurance (jusqu’à six fois par an) et proposer des millions de couverture», selon notre interlocuteur.
Certains risques ne sont pas couverts
Le produit a été présenté ce printemps et plus de 600 clients ont conclu cette extension, dépassant l’objectif qui était fixé à 400 sur une année, selon l’assureur.
Sur le marché des PME, il règne parfois un climat d’alarmisme exagéré, affirme Jesus Pampin. Si elles n’investissent pas dans certains services, comme la blockchain, la protection cyberrisque, le paiement avec des bitcoins, on leur dit qu’elles n’existeront plus dans deux ans. Le contexte est anxiogène. «Il faut sensibiliser, mais sans faire peur», recommande le conseiller de la Vaudoise. Une attaque ne signifie pas immédiatement une perte financière.
Certains risques ne sont pas couverts, par exemple l’usurpation d’identité, appelée généralement «l’arnaque au président», où on demande un versement de la PME sur un compte. C’est de l’abus de confiance et non un cyberrisque.
▅