Les cyber-attaques se multiplient, s’intensifient et se diversifient. L’année 2013 a été le théâtre de nombreux cas d’attaques cybercriminelles. Pour n’en citer que deux, Vodafone Allemagne s’est fait subtiliser les noms, adresses, dates de naissance, sexes et coordonnées bancaires de deux millions d’abonnés, et Target s’est fait dérober 40 millions de données bancaires et 70 millions de données client… Le coût de gestion de cette crise sera sans aucun doute élevé : frais d’expertise technique pour endiguer la crise et déterminer les caractéristiques de l’attaque, frais de notification client, frais de justice, compensation financière, amendes… Espérons que ces sociétés aient au préalable souscrit une assurance qui leur aurait indemnisé la plupart de ces coûts !
Qu’est-ce que la cyber-assurance ?
En quelques mots, on peut définir la cyber-assurance comme un produit d’assurance visant à permettre à une entreprise d’être indemnisée des dommages immatériels qu’elle subit ou fait subir à un tiers du fait d’une introduction, suppression, altération ou vol de données sur son système d’information. Les frais pris en charge sont variés : pertes directes, frais d’expertise technique, frais de justice, frais de notification client, frais de préservation / restauration de l’image, frais de surveillance des données, frais d’extorsion… et les montants de garanties sont élevés (environ 20M€ par assureur et jusqu’à 500M€ en réalisant des montages d’assurances). Outre son avantage purement financier, fonction inhérente de l’assurance, la cyber-assurance a également l’attrait de mettre à disposition, pour la plupart des assureurs, un réseau d’experts (investigation numérique, communication, avocats…) capable d’intervenir rapidement pour gérer la crise, ce qui peut ainsi en diminuer les impacts (voir l’article Solucom « Cyber-assurance : quelles clés pour souscrire »).
Les limites de la cyber-assurance
Ces assurances peuvent cependant avoir certaines limites, notamment sur le périmètre de couverture. En effet, s’il est prouvé, dans le cas de Vodafone par exemple, qu’un employé de l’entreprise a une responsabilité dans le vol des données, il est possible que ce sinistre ne soit pas couvert par la cyber-assurance (l’assurance « fraude » prend alors le relai, et n’a pas forcément les mêmes garanties). Par ailleurs, une cyber-attaque qui aurait des impacts matériels (sur les SI industriels / systèmes SCADA par exemple, type Stuxnet en Iran) ne serait couverte qu’en partie par la cyber-assurance : l’ensemble des frais matériels ne sont pas nécessairement pris en charge (et il est probable que l’assurance tous risques informatiques de l’entreprise comporte une exclusion sur les cyber-attaques…). Il est donc important de tester la couverture de la police d’assurance en utilisant des scénarios concrets d’attaques et en analysant ce qui est couvert et ce qui ne l’est pas.
La cyber-assurance, pour qui et pour quels besoins ?
Quoiqu’il en soit, lorsqu’une entreprise est potentiellement exposée à ce type d’attaque et qu’elle gère des données sensibles, la question de la cyber-assurance doit être étudiée. Au même titre que l’on peut s’assurer contre un incendie, pourquoi ne pas s’assurer contre une cyber-attaque ? Lors de cette étude d’opportunité, il conviendra d’effectuer une analyse de risques pour déterminer les risques résiduels et de les confronter avec les assurances déjà souscrites par l’entreprise, afin de déterminer ce qui est déjà couvert et ce qu’il reste à couvrir. Deux cas se présentent alors : l’entreprise a la capacité d’absorber ces coûts ou elle ne l’a pas. A priori, une grande entreprise souhaitera principalement se prémunir contre une attaque majeure dont les coûts associés seraient trop importants pour qu’elle puisse les absorber. Dans ce cas, les montants de garanties souscrites et la franchise sont alors élevés. À la différence des PME qui souhaiteront plutôt s’assurer contre tous les types d’attaque, de la plus petite à la plus grande, n’ayant pas nécessairement les ressources pour absorber l’ensemble des coûts. Elle choisira alors un contrat avec une franchise faible et un apport d’expertise.
Finalement, dans le contexte de risque actuel, la cyber-assurance apparaît comme étant une solution intéressante pour de nombreuses entreprises, en apportant une indemnisation financière en cas d’attaque, ainsi qu’un apport d’expertise rapide qui lui permet d’en limiter les impacts. Cependant, la souscription requiert un arbitrage entre l’exposition de l’entreprise, son niveau d’expertise sécurité, le risque résiduel à couvrir, les garanties proposées et le montant de la prime annuelle. Pour ce faire, une évaluation devra être menée conjointement par les fonctions de gestion des risques et les responsables sécurité de l’information, afin de permettre une décision en toute connaissance de cause par la direction générale.