Attaques cybernétiques:
un risque sous-estimé par les PME
Alors que beaucoup de petites entreprises et de PME pensent encore qu’elles n’intéressent pas les hackers, de nombreuses statistiques démontrent aujourd’hui qu’elles sont de plus en plus exposées aux pertes financières liées aux attaques cybernétiques.
Selon l’enquête récente d’un grand cabinet d’audit, 88% des entreprises suisses ont été confrontées à une cyberattaque au cours des 12 derniers mois, contre 54 % l’année précédente. Dans les deux tiers des cas environ, le piratage a ensuite causé une interruption des activités commerciales. Et un bon tiers des entreprises sondées s’étaient fait dérober des données confidentielles, de clients ou de partenaires.
Malgré ces chiffres relativement alarmants, 36% des entreprises n’ont toujours pas de plan de crise. Il semblerait cependant qu’une prise de conscience s’opère progressivement, puisque 61% des PDG se disent préoccupés par les risques cybernétiques. Cette préoccupation est d’autant plus pertinente du fait qu’il existe des implications importantes en matière de responsabilité des dirigeants (comme ça a pu être le cas pour Equifax aux Etats-Unis).
Le hameçonnage (ou phishing) est le moyen le plus fréquemment utilisé par les hackers. On remarque que les entreprises des secteurs financiers et technologiques sont les plus fortement exposées :
- Autres
- Services de livraisons
- Vendeurs IT
- Organisations gouvernementales
- IMS
- Jeux en ligne
- FAI
- Réseaux sociaux
- Portails Internet
- Finance
Cette tendance est d’ailleurs confirmée par les données provenant des assureurs. D’après les données publiées par AIG, l’une des principales compagnies active dans l’assurance Cyber (depuis plus de 15 ans), les secteurs d’activités les plus touchés sont les suivants pour la période de 2013 à 2016 :
- Financial services 23%
- Communication, Media & technology 18%
- Retail / Wholesale 17%
- Business services 9%
- Hospitality and leisure 8%
- Manufacturing 8%
- Professional services 6%
- Public entity and non-profit 4%
- Other industries / Services 8%
On pourrait donc conclure que les entreprises des secteurs financiers et technologiques sont les principales concernées. Mais l’ensemble des PME et les entreprises industrielles courent aussi des risques importants :
Une étude réalisée par GFS-Zurich en septembre 2017 auprès de 300 PME suisses laisse entendre que 23,000 sociétés (4% des sociétés suisses) ont été exposées à des manœuvres de chantage et que 290,000 entreprises (36%) ont été confrontées à des malwares. Par ailleurs, 62 % des sondés considèrent l’absence d’interruption de leurs services informatiques comme très importante pour leur entreprise.
En effet, l’exposition de leur systèmes opérationnels aux cyberattaques peut entraîner des pertes d’exploitation considérables. Un exemple marquant s’est produit chez DaimlerChrysler en 2005, au moment de la propagation du ver Zotob. L’interruption des chaînes de production a immobilisé 50,000 travailleurs dans 13 usines, ce qui causa une perte de 14,000,000 USD pour seulement une heure d’interruption:
Cyber-risques: Nombre d’incidents industriels majeurs depuis les années 2000
- Nombre d’incidents industriels majeurs
De nombreux cas de cyber-attaques ont défrayé la chronique, ce qui pousse aujourd’hui l’ensemble des entreprises à engager des moyens de plus en plus importants dans leur politique de cybersécurité, que ce soit dans les processus opérationnels avec différents moyens technologiques, ou dans le management.
Les problèmatiques liées au social engineering amènent en effet les entreprises à plus deprévention et de contrôles internes, à la mise en place de protocoles et de formations, à une gestion précautionneuse des droits sur les systèmes informatiques, etc.
Le transfert de l’ensemble de ces risques vers des assureurs intervient parfois dans le cadre d’une démarche globale de gestion des risques, que ce soit pour l’assurance des abus de confiance ou l’assurance Cyber. Même si c’est moins souvent le cas pour les PME.
La tendance actuelle semble néanmoins aller dans le sens d’une prise de conscience de l’ensemble des acteurs.
Mais que proposent les assureurs dans le cadre de l’assurance Cyber?
D’une part, il s’agit de fournir différents services dédiés et d’assurer les différents coûts entrainés par une attaque cybernétique : Frais de gestion de crise, frais de conseil en relations publiques, frais de conseil juridique, et autres frais liés aux obligations déclaratives et à la perte des données. Les principales prestations assurées sont les suivantes :
- Coût des expertises « forensic » (pour identifier et remédier à l’attaque), avec la mise à disposition de services de gestion de crise (souvent auprès de prestataires externes),
- Frais de relations publiques et d’avocats (pour gérer l’atteinte à la réputation de l’entreprise et élaborer une réponse juridique adaptée),
- Frais de déclaration aux autorités administratives (étant donné les obligations de notification dans le cadre de la LPD et parfois même du RGPD*) et frais de notification des personnes dont les données personnelles ou sensibles ont été dérobées,
- Frais de restauration de reconstitution des données (par des entreprises tierces qui ressaisissent les données qui n’existent plus qu’en format papier, et restaurent ou reconstituent les logiciels endommagés).
D’autre part, il semble utile d’intégrer une couverture des pertes d’exploitation, quand les assureurs sont disposés à le faire, afin de se prémunir contre les conséquences financières d’une interruption des systèmes informatiques (gestion de la production et/ou des stocks et des achats, etc.). En effet, les assurances de perte d’exploitation traditionnelles excluent en principe les risques cybernétiques. Mais ces couvertures ne sont pas toujours disponibles. D’après les données de SwissRé (ci-contre), il est plus difficile d’obtenir ce type de couvertures pour les entreprises de certains secteurs d’activité. Mais dans la pratique, les assureurs semblent de plus en plus enclins à accorder des garanties étendues, face à un besoin qui ne cesse de s’accroitre dans le contexte d’une sur-émergence des risques cybernétiques.
Puisque la protection financière des entreprises est un aspect central de l’assurance Cyber, la couverture de la «cyber extorsion» est aussi devenu un élément important, étant donné la prolifération des ransomwares sur le net. Ce seul état de fait devrait d’ailleurs amener les entreprises à vouloir se protéger d’avantage, car même une tentative d’extorsion peut entraîner des frais assurables.
En parallèle, certains assureurs proposent aussi d’allouer des primes aux personnes disposant d’informations permettant d’arrêter les pirates informatiques, à travers des couvertures dédiées et sous réserve de certaines conditions. La lutte contre la prolifération de la criminalité sur Internet est effectivement devenu un objectif prioritaire pour les assureurs, parallèlement aux initiatives de certains acteurs publics et institutionnels (projet de création d’une DARPA suisse rattachée à l’armée, Center for digital trust à l’EPFL, etc.).
Enfin, il est également nécessaire de couvrir les préjudices subis par des tiers, puisque les contrats RC ont tendance à l’exclure. La responsabilité des entreprises peut en effet être engagée pour violation de la confidentialité des données, suite à des manquements en matière de sécurité des systèmes d’information. Pour cette raison, l’assurance Cyber inclut en principe un volet RC, souvent complété par une couverture RC dite « Media » : Dans ce cas, il s’agit simplement de se prémunir contre les différents risques encourus par les assurés dans le cadre de l’utilisation de leurs sites internet (diffamation, affirmations erronées, violation des droits d’auteur, plagiat, détournement d’informations, etc.).
En cas de violation de la confidentialité des données des clients, les entreprises doivent donc se conformer à leurs obligations de notification, et il peut même se produire que des sanctions pécuniaires soient prononcées à l’encontre des entreprises victimes de piratages. Certaines juridictions permettent d’assurer les amendes civiles (ce qui n’est pas le cas en Suisse), et les sanctions pécuniaires prononcées par les autorités administratives sont donc assurables en théorie pour les entreprises aussi présentes à l’étranger (sauf pour les amendes à caractère pénal).
* Le Règlement Général pour la Protection des Données, qui entrera en vigeur le 25 mai 2018, s’applique aussi pour les entreprises suisses ayant des clients domiciliés dans l’UE, et prévoit des amendes d’un montant très important (jusqu’à 20 millions d’Euro et 4% du chiffre d’affaires). Mais l’application de sanctions de ce type pourrait néanmoins se heurter à différents obstacles juridiques, et les autorités admisnitratives pourraient s’en tenir à de mesures de coercition.