Alors que les menaces qui pèsent sur les systèmes d’information se multiplient et prennent des formes toujours plus sophistiquées, peu de PME contractent une cyber-assurance. Souvent par méconnaissance.
Yahoo!, Sony, eBay, Home Depot, Target… Les cyberattaques se sont multipliées ces dernières années. Seules ces grandes affaires sont rendues publiques, mais des entreprises, petites ou grandes, subissent quotidiennement ce fléau sans que cela soit médiatisé.
Malware, attaque par déni de service (DDoS), cyber-extorsion, etc. La menace prend différentes formes. Pour se protéger, les PME s’en remettent principalement aux technologies traditionnelles de type antivirus et firewall, oubliant qu’il est aussi possible de couvrir les cyber-risques par l’assurance. Pourtant, le préjudice peut être – proportionnellement – plus important que pour une grande entreprise aux assises financières plus solides.
L’indisponibilité d’un site d’e-commerce ou l’arrêt d’une chaîne de production se traduit par une perte nette de chiffre d’affaires. Il en va de même lors du vol d’une base de données clients ou d’un acte de malveillance commis par un hacker ou un salarié. À cela s’ajoutent les dépenses en prestations de services que doit consentir une PME n’ayant pas les compétences internes pour investiguer et rétablir son système d’information.
Parfois, le risque est indirect. Dans le cas de l’affaire Target, c’est en ciblant un prestataire chargé de la surveillance des systèmes de chauffage et de climatisation que les pirates ont remonté jusqu’au géant américain de la distribution. Ce dernier était en droit de se retourner contre son sous-traitant. Target a estimé le coût du vol de données (numéros de cartes bancaires, données personnelles) qu’il a subi à 148 millions de dollars, dont 38 millions ont été couverts par son contrat de cyber-assurance.
Enfin, le risque est réglementaire. Dans un an, un nouveau règlement européen, le RGPD, renforcera les obligations des entreprises en matière de protection des données personnelles. Elles devront notamment notifier dans les meilleurs délais à la Cnil toute violation de données. Un défi quand on sait que le temps moyen de détection dépasse, selon une étude de Ponemon Institute, trois mois dans le secteur de la finance et plus du double dans la distribution. À la clé, le RGPD prévoit une sanction pouvant aller jusqu’à 4 % du chiffre d’affaires annuel.
Comment réagir en cas de cyber-extorsion ?
Pour autant, à la différence des grands comptes, peu de PME ont le réflexe assurance. Pour Luc Vignancour, practice leader « cyber et fraude » chez Marsh, il faut démystifier le sujet. « Elles pensent à tort que s’assurer contre les cyber-risques est compliqué, qu’elles devront comme les grands comptes se soumettre à un audit et répondre à un long questionnaire. »
Courtier, Marsh fait aujourd’hui appel à des assureurs qui acceptent de couvrir ces PME sur la base uniquement de leur chiffre d’affaires et de leur secteur d’activité pour des primes oscillant, selon l’expert, de 10 000 à 50 000 euros par an. Un coût supportable au regard des éventuels préjudices.
Au-delà des remboursements en cas de perte de chiffre d’affaires, les entreprises disposent avec ces contrats d’une hotline 24/7. Elles peuvent se tourner vers ces experts pour être conseillées au moindre soupçon d’attaque. Dans le cas, par exemple, d’un ransomware, technique qui consiste pour les pirates à chiffrer des données puis à exiger une rançon pour les déverrouiller, ils indiqueront comment gérer la situation. Des spécialistes en communication de crise peuvent aussi intervenir si la réputation de l’entreprise a été ternie par un vol de données auprès de ses clients, partenaires et investisseurs.
En cas d’attaque, l’entreprise doit collecter toutes les traces de l’événement et les interventions qu’elle a effectuées, elle ou ses prestataires. Autant d’éléments justificatifs qui viendront soutenir le dossier d’indemnisation.
