Les cyberattaques mondiales récentes ont révélé la vulnérabilité des entreprises et institutions face à un risque potentiellement très coûteux. Quels dégâts peuvent générer les cyberattaques ? Comment les entreprises sont-elles assurées contre la cybercriminalité ?
Peut-on estimer le coût des dégâts de ces cyberattaques ?
Très difficile, annoncent les experts. D'une part, en raison du caractère massif et inédit des cyberattaques initiées depuis près d'une semaine - plus de 300.000 ordinateurs touchés dans 150 pays, selon de premières estimations - mais aussi car de nombreuses entreprises préfèrent taire le préjudice pour préserver leur crédibilité.
Sans compter le caractère dissimulé de certains actes, comme le vol de données, difficiles à déceler immédiatement mais dont les conséquences peuvent apparaître plusieurs semaines, voire plusieurs mois, après.
L'attaque WannaCry "semble avoir touché plutôt des acteurs industriels, des PME et des particuliers, tous assez peu assurés contre le risque cyber", explique à l'AFP Didier Parsoire, responsable des "Cyber Solutions" du réassureur français Scor (PA:SCOR).
Plus généralement, le coût de la menace cyber est évalué mondialement à environ 400 milliards de dollars.
Le poids de la cybercriminalité représentait en moyenne en 2015 pour les Etats-Unis, l'Union européenne et la Chine environ 0,5% de leur Produit national brut, d'après une étude du cabinet de conseil PwC, publiée en janvier 2016.
Au Royaume-Uni, une étude gouvernementale menée auprès de 1.523 entreprises a établi que le coût moyen par entreprise des cyberattaques en 2016 avait oscillé entre 1.600 euros pour une petite structure et près de 23.000 euros pour une grande.
Les entreprises sont-elles suffisamment protégées ?
En France, non, de l'avis de la plupart des spécialistes. Bien que sensibilisées au risque cyber, les entreprises ne s'imaginent pas être des cibles. Elles "restent assez peu matures sur le sujet et imparfaitement protégées: à peine la moitié sont capables de déceler des incidents", déplore auprès de l'AFP Pascal Trouchaud, associé chez PwC et spécialiste en cybersécurité.
La banque et l'assurance, très réglementés, ainsi que l'aéronautique et la défense, très espionnés, sont les secteurs les plus en pointe. A l'inverse, la distribution, qui dépense peu en sécurité, est à la traîne alors qu'elle "gère le plus de données bancaires", développe M. Trouchaud.
"A la fin 2016, un peu plus de la moitié des entreprises du CAC 40 avait souscrit une police d'assurance cyber", mais, côté PME, cela "reste encore très limité", indique le réassureur Scor. D'après une étude IFOP/PwC datant de 2015, moins de 5% des entreprises françaises avaient déjà souscrit une assurance à l'époque.
Encore jeune, le marché de la cyber assurance représente environ 3 milliards de dollars de primes d'assurance mondiale et pourrait atteindre 10 milliards en 2020. En France, il est estimé à 300 millions d'euros.
Y compris aux Etats-Unis, marché précurseur, la souscription est modérée: près de 50% des entreprises de services les plus exposées (finances, santé, éducation, commerce) sont assurées contre 10 à 20% des sociétés industrielles, selon Scor.
Que couvre une cyber assurance ?
Elle couvre les conséquences d'un événement informatique, sans dommage matériel, qu'il soit accidentel (erreur humaine) ou volontaire (cyberattaque, intrusion numérique, etc), explique la Fédération française de l'assurance (FFA) dans un guide en ligne dédié au cyber risque.
Elle peut aussi couvrir des frais de gestion de crise (en communication, préservation de la réputation, solutions pour endiguer l'attaque), d'enquête ou d'information des victimes de vol de données. Sans oublier les dommages matériels, parfois exclus des assurances classiques.
L'étendue de la responsabilité civile, couvrant les dommages occasionnées à un tiers, peut aussi varier.
"Il y a autant d'offres que d'assureurs", pointe à l'AFP Pauline Adam-Kalfon, directrice chez PwC, qui y voit "un signe d'immaturité du marché" même si les acteurs structurent de plus en plus leurs offres.
Difficile donc d'avancer leur coût: de 800 euros pour une offre simple à plusieurs dizaines de milliers d'euros, selon Pascal Chapelon, président du syndicat des agents généraux d'Axa France.
"Ce n'est pas une assurance bon marché", nuance François Nédey, directeur technique assurances de biens et responsabilités d'Allianz (DE:ALVG) France, chez qui on évalue préalablement l'ensemble du système d'information d'une entreprise avant toute souscription, cette dernière pouvant être amenée à renforcer sa sécurité afin d'être assurée.
Les cyber assurances vont certainement se développer. Car dès mai 2018, les entreprises traitant des données personnelles devront avertir leurs clients en cas de violation de leurs données tandis que les opérateurs de services essentiels et ceux du numérique devront notifier toute atteinte à leur système d'information.