Assurer les données informatiques d’une entreprise va-t-il devenir la règle ?

Les cyberattaques figurent aujourd'hui parmi les principaux risques avec lesquels les entreprises doivent composer aujourd'hui. Des attaques qui peuvent coûter très cher: 773 000 euros sur les finances d’une société, d'après l'étude Risk:Value 2016, publiée par NTT Com Security en janvier. Un chiffre à relativiser car le coût dépendra beaucoup de la nature du dommage subi, et sera plus ou moins bien supporté en fonction de la taille de l’entreprise.

À ce coût potentiel du préjudice s’ajoute également le respect des réglementations, notamment européennes. Celles-ci vont obliger les entreprises à investir pour mieux protéger leurs données et par extension celles de leurs clients et fournisseurs.

Un marché qui attire les assureurs

Conscients du contexte de la transformation numérique de notre société, les assureurs ont de fait flairé un marché auquel ils doivent s’adapter. Nombre d’entre eux proposent ainsi des contrats spécialisés, complémentaires des polices classiques et ne couvrant généralement pas les dommages immatériels. Même les responsabilités civiles excluent le plus souvent la perte et la divulgation de données personnelles, ainsi que les dommages causés aux tiers suite à la contamination informatique par l’entreprise souscriptrice.

En France, les compagnies d'assurances proposent des services qui sont des adaptations de ce qu’ont proposés les assureurs américains dès les années 2000. Le prix de ces services dépend de la taille de l’entreprise, des données à assurer, etc. Pour le fixer, les assureurs évaluent les risques en les modélisant grâce aux données recueillies par questionnaires auprès des prospects. Logiquement, plus une base de données est grande et plus les données qu’elle contient sont sensibles, plus le risque d’attaque augmente. Le prix de l’assurance progresse alors d’autant. Selon l’enseignant en sciences économiques Ali Jaghdam: "souscrire une assurance se révèle surtout pertinent pour une attaque informatique rare et de forte intensité. Concernant les sinistres de fréquence (qui arrivent souvent et sont de faible gravité), l’entreprise a intérêt plutôt à agir de manière proactive". Les données détenues par les cabinets d’avocat et les cabinets d’expertise comptable font partie des plus sensibles.

Accompagner la gestion de crise

Si une entreprise choisit de s’assurer, charge à elle de négocier les conditions. Des contrats peuvent être adaptés en fonction du secteur d’activité: santé, communication, finance… Une bonne cyber-assurance comprendra alors à la fois une protection contre le manque à gagner et un accompagnement dans la gestion de crise, afin de réduire l’impact de la violation. Les contrats incluent donc a priori la mise à disposition d’équipes techniques, juridiques, de négociation et de relations publiques. Le coût de ces spécialistes représente en moyenne 50% de l’indemnité, d’après l’étude sur la gestion des risques réalisée par NTT Com Security.

Ali Jaghdam conseille lui: "Avant de choisir un contrat il faudra faire la distinction entre malveillance et négligence, et vérifier la définition retenue des prestataires de services informatiques". À noter que le code des assurances permet d’exclure l’assurance du vice propre de la chose assurée. Autrement dit, une erreur de programmation d’un logiciel au départ empêche de faire valoir l’assurance ensuite, l'assureur pouvant considérer que l'accès aux données n'était pas correctement verrouillé dès le départ, lors de la conclusion du contrat. Cela, selon la même logique que l'assurance d'un logement contre le vol, qui ne fonctionnera pas si les fenêtres et portes ne ferment pas correctement.

Bientôt un dispositif national

Il faut également savoir qu'une indemnisation ne sera possible si et seulement si l’assuré apporte des preuves précises du préjudice subi. Il faut que les fichiers aient une valeur marchande ou une importance stratégique, d’après la jurisprudence.

De son côté, l’État a annoncé un dispositif national destiné à porter assistance aux victimes d’actes de cyber-malveillance dès 2016. D’après un baromètre Opinion Way publié en janvier 2016, près de 40% des entreprises envisagent de souscrire une cyber-assurance.