Face au cyber-risque, les entreprises n'ont plus d'autre choix que de devoir sortir l'artillerie lourde pour se protéger face à des attaques de plus en plus récurrentes et aléatoires... Face à ce besoin pressant, le secteur de l'assurance s'organise.

Le mois d’octobre 2017 était en France et partout en Europe placé sous le signe de la cybersécurité. À cette occasion, le gouvernement français a lancé une toute nouvelle plate-forme en ligne permettant de mettre en relation toute entreprise, particulier ou administration, victime d’un acte de cyber-malveillance avec des spécialistes capables d’établir un diagnostic précis de la situation et d’orienter vers la solution la plus pertinente pour sortir de la crise. La création de ce site internet est une première en la matière, signe que les enjeux liés aux risques cyber sont devenus une préoccupation de premier ordre pour le gouvernement d’une part, mais aussi pour les entreprises et les particuliers. Car s’il est sensible pour la sécurité nationale, le sujet l’est aussi pour l’économie. « Dans tous les pays, de très nombreuses entreprises de toute taille dont chez nous des ténors du CAC40 ont déjà été touchées par des cyberattaques », alerte Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l'entreprise (Amrae), insistant sur la « véritable urgence à se saisir du sujet, devenu hautement stratégique ». Cela s’explique notamment par le fait que 80 % des principaux actifs des entreprises sont aujourd’hui immatériels. Il existe donc des failles naturelles dans lesquelles les attaquants, de plus en plus nombreux, n’hésitent pas à s’engouffrer. « Quatre-vingt-quinze pour cent des cyberattaques sont menées à des fins de vol d’informations », précise Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d'information (Anssi). Certaines pouvant tout simplement conduire à l’arrêt complet de l’activité de l’entreprise.

S’assurer : un acte nécessaire mais pas suffisant

Se protéger devient donc une nécessité. Pour cela, les assureurs ont un rôle à jouer et le marché de la cyber-assurance commence à se développer, favorisé par l'attaque au rançongiciel Wannacry qui a contaminé plus de 300 000 ordinateurs en mai dernier suivie fin juin par une autre cyberattaque du même type. Le danois Tryg a en effet constaté à la suite de ces attaques une rapide augmentation des souscriptions de polices contre les piratages informatiques. Le directeur général de l’assureur, Morten Hubbe estime même que rapidement « il va devenir aussi normal de disposer d'une assurance contre le piratage informatique que de disposer d'une assurance incendie », quelle que soit la taille de l’entreprise. Pour autant, « aucun assureur ou expert n’est capable aujourd’hui de caractériser avec certitude la potentialité des sinistres cyber, leur amplitude ou de cartographier précisément le risque d’accumulation », explique Matthieu Caillat, directeur d’Axa Corporate Solutions. Beaucoup cherchent encore à développer des produits moins complexes et plus flexibles, ou nouant des partenariats avec des spécialistes de l’analyse de données ou de la cybersécurité. Mais pour certaines entreprises, malgré l’immaturité notoire de l’offre en produits d’assurance cyber, se couvrir peut être très utile pour plusieurs raisons. C’est d’une part un facteur rassurant pour les différentes parties prenantes, comme les clients ou les actionnaires. D’autre part, cela permet aux entreprises de bénéficier d’un véritable accompagnement dans le déploiement de leur stratégie en matière de risque cyber, grâce à des audits poussés menés par les assureurs.  François Malan, directeur de la gestion et du contrôle des risques chez Nexity affirme que cela leur a permis « de poser un regard lucide sur l’état des lieux ». Disposer d’une assurance constituerait une partie de la solution pour se protéger face aux cyber-attaques mais cela reste insuffisant.   

Une défense à bâtir en amont

« Se numériser implique pour l’entreprise un changement de business model qui doit être construit sur des principes de sécurité solides », n’a de cesse de marteler Brigitte Bouquot, avant qu’il ne soit trop tard. La question de la sécurité numérique doit être l’affaire des décideurs. Ces derniers, aidés par le risk manager, le gestionnaire des risques, ou tout autre expert compétent, doivent s’assurer d’une bonne prévention en amont du risque, grâce à la mise en place de plans de continuité et de reprise d’activité adaptés.

Marion Robert (@Marion_Rbrt)

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2024