«Une cyberattaque peut tuer une société»
Martin Jara, directeur général d’Helvetia, détaille le fonctionnement des assurances contre les cyberattaques. Le responsable affirme qu’il n’a jamais dû participer au paiement d’une rançon de hackers
La vague de cyberattaques qui frappe la Suisse ne faiblit pas. Ces derniers jours, l’armée de l’air helvétique s’est fait voler des documents. Le Conseil oecuménique des Eglises a été attaqué par un logiciel d’extorsion (rançongiciel), tout comme la ville de Baden (AG). Face à cette déferlante, les entreprises semblent peu enclines à s’assurer. Mi-décembre, l’Association suisse d’assurances (ASA) affirmait, sur la base d’un sondage, que seules 7% des entreprises helvétiques sont assurées contre les cyberattaques. Selon l’ASA, plus de 46 000 entreprises et 292 000 clients privés ont payé, pour 2022, un total de 108 millions de primes en cyberassurances.
Tous ces chiffres devraient augmenter. Rappelons que tout récemment un sondage commandé par le Forum économique mondial (WEF), dans le cadre de son «Global Risks Report 2024», indiquait que 39% des personnes interrogées estimaient que les cyberattaques devraient représenter un risque considérable cette année. «L’écart entre les organisations capables de se rendre cyberrésilientes et celles qui ne le sont pas ne cesse de se creuser», avertissait le WEF.
Directeur général d’Helvetia, Martin Jara détaille les avantages, mais aussi les limites, des produits d’assurance liés aux cyberattaques.
Quel est aujourd’hui l’état de la demande pour de telles assurances? L’intérêt est très fort. Les menaces sont très importantes, elles peuvent tuer une entreprise, il vaut la peine de tenter de s’en prémunir. La demande pour les assurances vient des administrations, des entreprises ou des particuliers. Nous estimons que, en moyenne, le volume des primes devrait doubler tous les deux ans, ce qui montre la dynamique de ce marché en pleine expansion. Selon nos estimations, 10% des entreprises sont assurées contre les cyberattaques, une proportion légèrement supérieure à celle diffusée par l’ASA, car nous tenons compte des grandes entreprises qui ont souscrit une police à l’étranger et les couvertures dites «Silent Cyber», c’est-à-dire les «non-exclusions» dans d’autres branches qui couvrent également certains cyberdommages.
On a l’impression que les primes augmentent, mais que les dommages couverts par les assureurs diminuent… Ce n’est pas le cas. La plupart du temps, nous pouvons apporter un appui considérable. Mais il y a des limitations, c’est clair. Ainsi, aucune de nos assurances – et c’est le cas aussi sur tout le marché – ne prend en charge des dommages causés par des attaques dites «systémiques», qui se dirigeraient sous une forme concentrée par exemple contre des infrastructures critiques, ici en Suisse. Il peut s’agir d’une attaque comparable à une agression militaire, ou alors l’exploitation d’une faille importante d’un système de Microsoft ou Google, par exemple.
On lit aussi dans vos conditions générales que d’autres exclusions existent. Oui. Les dommages causés à l’interne de manière intentionnelle ne sont pas couverts, tout comme ceux générés par des dommages matériels, ceux causés par le vieillissement de supports de données ou engendrés par le dysfonctionnement d’une nouvelle installation de logiciels. Ce sont des exemples parmi d’autres. Tout cela est écrit noir sur blanc et de manière transparente.
Tout de même, cela fait beaucoup d’exclusions, non? Je ne pense pas. Concrètement, ces dernières années, nous n’avons dû exclure aucun cas lié aux causes que je viens de citer. Cela prouve que nous ne sommes pas trop stricts par rapport à nos critères. Nous avons dû faire face à des attaques ciblées contre des entreprises, par exemple, et nous les avons soutenues. Et comme dans tous les domaines des assurances, il y a des exclusions. De telles exclusions sont indispensables pour garantir le principe de solidarité. Il n’est pas acceptable que la majorité des assurés soient tenus responsables des négligences de certains d’entre eux.
Durant l’été 2023, de nombreux sites web de la Confédération, de cantons et de communes ont été mis hors service durant plusieurs heures par des hackers très certainement d’origine russe. Etait-ce un acte de guerre selon votre définition? C’est tout à fait possible, mais improbable. Je ne peux vous apporter de réponse définitive car je ne connais pas les cas concrets en détail. Quoi qu’il en soit, aucun de nos clients ne nous a contactés dans le cadre des attaques que vous mentionnez.
En général, quel dédommagement proposez-vous? Jusqu’à 5 millions de francs, en fonction de la couverture et de la prime payée. Ce montant est un maximum.
Comment classez-vous vos clients? Nous avons défini quatre classes de risques. Dans la classe la plus élevée, qui concerne par exemple des hôpitaux, des banques ou des études d’avocats, nous exigeons de nos clients des mesures de sécurité et de prévention très élevées. Nous avons des partenaires qui font des audits de sécurité chez ces clients. Ces audits naturellement sont moins stricts pour d’autres types de clients, comme une entreprise active dans la construction, par exemple. Il est important de noter qu’un grand nombre des cyberincidents actuels pourraient être évités par une prévention ciblée et des investissements dans la résilience d’une entreprise. A mes yeux, c’est une tâche essentielle, entre autres pour le secteur des assurances, d’exiger des investissements préventifs correspondants de la part de l’économie et de rendre ainsi la place économique suisse plus résiliente face à la cybercriminalité. Pour cela nous nous assurons par exemple aussi du niveau de formation du personnel et des mesures de prévention prises, tant au niveau humain que technique.
Qu’en est-il des rançons? Les payezvous? En théorie, nous pourrions le faire, jusqu’à un montant peu élevé. De plus, on ne payerait une rançon que pour éviter des dommages encore plus grands: par exemple si les hackers menaçaient d’influencer des informations sur les patients d’un hôpital et ainsi de perturber les traitements. Heureusement, nous n’avons jusqu’à présent pas été confrontés à un tel cas de figure et n’avons jamais payé un centime de rançon. Nous avons des règles précises. Si nous devions payer une rançon à des hackers, ce serait toujours en accord avec la police, qui nous conseillerait, dans un cas précis. Dans l’immense majorité des cas, un tel paiement est évidemment déconseillé.
«Entre 2018 et 2022, les cas de sinistres cyber déclarés entraînant des frais ont été multipliés par huit chez Helvetia»
Hormis le paiement hypothétique d’une rançon, quels sont les services couverts par les cyberassurances? Il y en a beaucoup. Cela peut être une aide financière pour rétablir des systèmes informatiques qui ont été mis hors service par une cyberattaque. Cela peut être l’achat de matériel. Cela peut être l’utilisation de systèmes de sauvegarde des données. Et ces prestations peuvent être fournies en lien avec des primes que j’estime raisonnables. La grande majorité des primes dans le domaine des PME se situent entre 1000 et 2000 francs par an. Le client choisit exactement les prestations qu’il recherche, la prime est adaptée en conséquence.
Le secteur de la cyberassurance est-il rentable? Oui, il l’est, et nous voulons le développer. Dans le domaine des cybermenaces, nous n’avons pas pu nous appuyer sur des années d’expérience comme dans d’autres secteurs et avons dû développer notre modèle de primes de A à Z en peu de temps. Alors qu’en parallèle, entre 2018 et 2022, les cas de sinistres cyber déclarés entraînant des frais ont été multipliés par huit chez Helvetia. Les sinistres les plus fréquents sont dus aux ransomwares (rançongiciels) et aux activités frauduleuses (arnaque au président, vol d’identité). Je dois aussi ajouter que dans le secteur des entreprises, le montant de la prime moyenne a presque doublé au cours des cinq dernières années. Je suis convaincu que nous avons développé un modèle qui répondra également aux exigences futures.
Dans quelle mesure le secteur public souscrit-il aussi à des cyberassurances? Nous avons plusieurs communes dans notre portefeuille. De même, nous avons déjà assuré un canton et un office des finances d’un autre canton. Les cantons ont sans doute tendance à être plus exposés que les communes, mais d’un autre côté, ces dernières sont souvent mieux équipées sur le plan informatique.
Combien de polices de cyberassurances avez-vous conclues? Nous ne pouvons malheureusement pas fournir de chiffres détaillés, mais le nombre de polices couvertes par Helvetia se situe actuellement dans une fourchette à quatre chiffres.
Quelles sont les prestations que peuvent espérer les particuliers? Pour quelques dizaines de francs par an, ce que j’estime très raisonnable, les particuliers peuvent s’assurer contre des dommages subis par leur ordinateur ou leur smartphone, contre la perte et le vol de données ou pour les aider en cas de harcèlement.
Estimez-vous que les autorités en font suffisamment en matière de prévention? Prenez l’Office fédéral de la cybersécurité: il effectue un travail important de documentation des incidents et des attaques, il prodigue de nombreux conseils et effectue des campagnes importantes de sensibilisation. L’Etat fait beaucoup, il ne peut pas tout faire. Le secteur privé, les entreprises et les particuliers doivent aussi accroître par eux-mêmes leur cybersécurité. Ce qui est central en fin de compte, c’est que l’économie, la science et l’Etat collaborent étroitement. Ce n’est qu’ainsi que nous pourrons résister durablement aux défis que nous lance quotidiennement la cybercriminalité.
■