A Londres, le marché de l’assurance Lloyd’s est un emblème d’hier et d’aujourd’hui
Les entreprises ne peuvent plus ignorer le risque de piratage informatique. De nombreuses PME ne sont toutefois pas encore assurées
Les cas de cybercriminalité se multiplient. Cette évidence n’est désormais plus contestable. L’étendue du phénomène reste pourtant inconnue, car il n’existe pas de chiffres fiables, y compris chez Melani, la centrale d’enregistrement et d’analyse pour la sûreté de l’information instituée par la Confédération. Max Klaus, son directeur adjoint, parle d’un nombre relativement élevé, quoique inconnu. «D’autant plus qu’il peut se passer beaucoup de temps avant qu’une entreprise ne remarque qu’elle est victime d’une cyberattaque», indique-t-il. Selon un sondage de 2017, de l’association professionnelle swissICT, plus d’un tiers des PME helvétiques seraient touchées par des cyberattaques et 4% d’entre elles auraient déjà été rançonnées par des cybercriminels.
Une PME sur huit dispose d’une cyberassurance
Ces chiffres apportent donc de l’eau au moulin des assureurs. Ils proposent désormais tous des cyberassurances spécifiques mais, faute de données, on ignore à quel point ces offres sont mises à profit. L’assureur Zurich estime que quatre cinquièmes des grands groupes ont conclu une cyberpolice ou sont en train de le faire. «C’est avant tout le cas pour les entreprises actives à l’international, qui sont en général très interconnectées et donc exposées à des risques sans cesse accrus», déclare le porte-parole David Schaffner. Selon lui, les PME seraient en revanche encore rarement assurées.
Une étude de l’institut gfs-zürich a conclu il y a deux ans qu’une PME sur huit, tout de même, disposait déjà d’une cyberassurance. «D’après notre expérience, cette proportion est un peu trop élevée», estime cependant Claudia Sauter, porte-parole d’Helvetia. Reste que, en ce moment, le nombre de conclusions d’assurances serait en forte croissance.
On ignore à quelle somme se montent les dommages dus à la cybercriminalité en Suisse. Bitkom, l’association allemande pour le numérique, a calculé pour l’économie nationale un volume de dommages de 51 milliards d’euros par an. Ramené aux proportions suisses, on parlerait d’au moins 7 milliards de francs. Tandis que les coûts directs, comme la remise à niveau des systèmes techniques ou les pertes liées à une interruption d’exploitation, sont chiffrables, il est plus ardu de calculer les conséquences financières dues par exemple à des données perdues ou à des dommages de réputation.
Des exemples indiquent que, en cas d’infestation par un logiciel malin susceptible de causer une interruption d’activité, il en résulte rapidement un dommage de plusieurs centaines de milliers de francs, et ce même pour une entreprise modeste. La récupération des données et la remise à jour des systèmes coûtent rapidement beaucoup, car elles supposent l’intervention d’experts coûteux. Pour de plus grandes entreprises, les cyberattaques réussies peuvent entraîner des coûts de plusieurs millions.
Mode de fonctionnement «critique» ou non
Les scénarios de dommage pouvant aller jusqu’à une menace existentielle incitent donc les entreprises à conclure une cyberpolice. Mais Melani ne livre pas de recommandation générale à ce propos. «La question de savoir si la conclusion d’une cyberassurance est justifiée dépend notamment de la configuration des services techniques et doit donc être élucidée par chaque entreprise individuellement», pense Max Klaus. Les cyberassurances pour les grandes entreprises sont en général taillées sur mesure. En revanche, pour les PME, des solutions standard existent. Les services des divers prestataires se différencient fortement au niveau du montant assuré et de l’étendue de la couverture. Par exemple, le remboursement des sommes extorquées n’est pas automatiquement couvert partout. Et les dégâts occasionnés par des collaborateurs négligents sont souvent exclus des offres standard. Suivant les cas, il existe d’autres conditions spéciales: à la Bâloise, les preneurs d’assurance peuvent choisir s’ils entendent charger leurs propres experts techniques ou des spécialistes de l’assurance de l’évaluation des dommages et de la remise en état.
Côté primes, on constate de grosses différences. Leur niveau ne dépend pas que du périmètre de couverture, du montant des dommages assuré et de la franchise, mais aussi du secteur d’activité et des pays dans lesquels une entreprise opère. Helvetia distingue par exemple entre quatre catégories de risques. Dans la catégorie «mode de fonctionnement plutôt peu critique» se trouvent par exemple les couvreurs, parce qu’ils peuvent en général continuer de travailler même si leurs appareils électroniques ne fonctionnent plus. On trouve à l’inverse dans les «modes de fonctionnement critiques» les cabinets médicaux collectifs qui ne peuvent guère continuer de fonctionner de nos jours sans un soutien informatique véritablement au point.
Chez Helvetia, une PME répertoriée non critique paie, pour un montant d’assurance de 250000 francs et 2000 francs de franchise, une prime annuelle de quelque 1500 francs. Une société considérée comme particulièrement critique, comme un commerce en ligne ou un prestataire de services informatiques qui, par exemple, entendrait couvrir des dommages jusqu’à 1 million de francs, paiera aisément chez Helvetia et chez la plupart des prestataires plus de 10000 francs. Pour les grandes entreprises, la facture sera encore plus salée.
Vu la diversité de l’offre, les entreprises seraient bien inspirées, avant de conclure une cyberpolice, de requérir plusieurs offres, de les comparer attentivement et d’adapter le périmètre des prestations au profil de risque de la société. En principe, une cybercouverture comprend la responsabilité civile, les coûts des dommages propres, les interruptions d’activité, le vol d’espèces ou encore le racket. «Une importante partie des risques normaux est ainsi couverte», affirme-t-on chez Zurich. Ce qui va dans le sens de la porte-parole d’Helvetia, Claudia Sauter: «Les cyberdangers recensés aujourd’hui peuvent être intégralement couverts.»
■