Dans son rapport annuel, le Forum économique mondial place le risque cyber à la troisième position, après les menaces météorologiques et les catastrophes naturelles. Pour prévenir ce danger grandissant, le Club des juristes met en avant les avantages de l’assurance.

| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »

Le Club des juristes a publié jeudi 18 janvier un rapport intitulé « Assurer le risque cyber », dans lequel il émet dix propositions pour lutter contre ce préjudice. Il préconise par exemple de faciliter la comparaison des offres d’assurance dédiées à ce préjudice et de permettre aux assureurs de mutualiser les données d’incidents informatiques pour constituer une base de données afin d’améliorer sa gestion financière. La Commission ad hoc Cyber Risk du Club a rappelé l’importance de ce sujet, en raison des enjeux financiers, économiques, humains et éthiques qu’il représente. Deux autres volets suivront, sur la prévention et l’éducation.

La cyberattaque est en effet considérée par le Forum économique mondial comme l’un des cinq principaux risques, et se démarque par son caractère systémique. La France a enregistré une augmentation de 60% des attaques en 2016. « Les cyberattaques sont devenues notre lot quotidien – trois attaques ont déjà eu lieu depuis début 2018 (notamment contre la base de données biométriques du gouvernement indien, ndlr) – personne n’est épargné et cela va encore se renforcer avec l’essor de l’IoT », note Bernard Spitz, président de la Commission Cyber Risk du Club des juristes et de la Fédération française de l’assurance, en rappelant qu’il s’agit d’un problème mondial et qu’aucune solution ne sera efficace si elle est faite à l’échelle nationale.

77% des PME françaises victimes de cyberattaques

Pour le Club des juristes, l’assurance est au premier rang des mesures pour prévenir cette menace. Le marché mondial de l’assurance cyber, qui est estimé à 3,5 milliards de dollars, est ainsi en forte croissance mais les entreprises françaises sont encore insuffisamment couvertes selon le rapport. « Le problème est que cela reste encore difficile à comprendre, souligne Philippe Cotelle, Head of Insurance Risk Management à Airbus Defense and Space, qui élabore avec la filière des standards de cybersécurité adaptés au niveau industriel. Certains employeurs ne savent pas si avec leur contrat de responsabilité civile, ils sont couverts contre une cyberattaque. Si en Angleterre, le risque cyber est un contrat à part entière, il est intégré aux offres classiques en Europe continentale. L’enjeu est donc de clarifier les offres et d’améliorer le dialogue entre assureurs et assurés pour obtenir une couverture individualisable. »

En France, le marché de l’assurance cyber s’évalue à 40 millions d’euros (soit 1,1% du marché mondial) et se répartit de manière très inégale : l’ensemble des entreprises du CAC40 seraient couvertes mais très peu de PME le serait. Or, celles-ci représentent 77% des victimes d’attaques numériques en France selon l’Internet Security Report 2016 de Symantec. « Les PME se sentent éloignées d’une cyberattaque mais nous relevons beaucoup de fraudes au président, relève Valérie Lafarge-Sarkozy, secrétaire de la Commission et avocat associée, attachée à davantage de prévention. S’assurer offre également une protection juridique. »

« La démarche assurantielle n’est pas dans la culture du RSSI »

La Commission Cyber Risk du Club des juristes insiste sur la nécessité d’effectuer une cartographie des risques. « Identifier ce qui fait la valeur ajoutée de son entreprise et souscrire à une assurance contre les cyber risques est un élément de valorisation », affirme Nicolas Arpagian, directeur de la Stratégie et des Affaires publiques à Orange Cyberdefense, qui recommande à chaque entreprise d’évaluer sa dépendance au numérique. Une assurance cyber oscille entre 200 et 1 500 euros par an. « Les dépenses en assurance sont de l’ordre de 4% du budget du SI, il faudrait que cela atteigne au moins 7% », ajoute-t-il.

La Commission accentue le fait que la souscription à un contrat spécifique est une responsabilité de la direction. « La démarche assurantielle n’est pas dans la culture du RSSI, cela doit relever du dirigeant et être un travail collaboratif et transverse », soutient Nicolas Arpagian. La prévention est également essentielle selon lui. Environ 90% des sinistres informatiques déclarés résultent d’un comportement humain, d’après le cabinet de conseils Willis Towers Watson. « Les conséquences de ce risque ont pris une telle ampleur que sa gestion n’est plus un sujet technique relevant des seules directions informatiques. Il est devenu un enjeu de gouvernance. »

L’Europe s’est emparée du sujet et renforce l’arsenal juridique de ses membres pour homogénéiser les réponses contre cette menace. L’entrée en vigueur de la directive NIS et du Règlement européen sur la protection des données (RGPD) en mai 2018 prévoit un renforcement de la prévention au sein des entreprises, notamment à travers la notification d’incidents cyber – dont le non-respect sera sanctionné par des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial. 

Retrouvez ici le rapport « Assurer le risque cyber » du Club des juristes.

À lire également sur Alliancy :

Une assurance contre les cyber-attaques

La chronique du Cesin : Allo ! La Police ?

Vers une gestion globale du cyber-risque