Inscrivez-vous gratuitement à la Newsletter BFM Business
Essor du hacking et changement législatif incitent de plus en plus d'entreprises à se tourner vers les assureurs, afin de se protéger contre les éventuels préjudices d'une cyberattaque.
RSA, Sony, Epsilon, Citigroup… 2011 s'avère une année exceptionnelle dans l'histoire des cyberattaques contre les entreprises. Des milliers, voire des millions de données ont été volées ou perdues, suite aux agissements d'une nouvelle génération de hackers, plus organisés et plus professionnels. Qu'il s'agisse de groupes pseudo-militants comme Anonymous, LulzSec ou Antisec, ou encore de réseaux mafieux secrets, ils ont tous un point en commun : ils occasionnent d'énormes dégâts. Le cas de Sony est emblématique : le vol de près de 80 millions de données clients coûtera au groupe plus de 170 millions de dollars, en raison de la perte d'exploitation, de la mise à jour des systèmes, des dédommagements des clients, des recours de tiers, etc. Des effets comparables à ceux d'un accident industriel majeur.Face à ce nouveau type de risque, de plus en plus d'entreprises se posent la question. “ Dans l'assurance, il existe un principe de base : dès que l'on peut déterminer la conséquence financière d'un événement, et que celui-ci est aléatoire, il est assurable, explique Luc Vignancour, directeur adjoint chez Marsh, un courtier en assurance. En France, des contrats dits cyber permettent de couvrir ce type de risque. ” Marché de niche oblige, ils ne sont pas vendus, pour l'instant, par les grandes marques de l'assurance, mais plutôt par des acteurs spécialisés d'origine anglo-saxonne, comme Hiscox ou XL Group.
Des expertises trop chères
Ces contrats apparaissent maintenant, car ils sont liés au changement législatif actuel dans l'espace européen. Adoptée le 25 novembre 2009 et transposée en France le 24 août, la directive européenne 2009/136/CE oblige les opérateurs et les fournisseurs d'accès à internet à notifier auprès de leurs clients toute violation de leurs données personnelles. Une obligation que Viviane Reding, vice-présidente de la Commission européenne, souhaite élargir, dans les prochains mois, à l'ensemble des secteurs économiques. Or, “ les frais les plus lourds dans un dossier de cyberattaque sont liés aux expertises informatiques et aux notifications ”, souligne François Brisson, souscripteur assurances professionnelles chez Hiscox France. Aux Etats-Unis, où l'obligation de notification existe depuis près de dix ans, les professionnels du secteur estiment que son coût varie entre 20 et 200 dollars par enregistrement. La facture est particulièrement élevée quand il s'agit de données bancaires, car les sociétés doivent non seulement avertir leurs clients, mais aussi s'assurer qu'ils ne se font pas voler de l'argent (credit monitoring).Concrètement, que couvrent ces assurances en France ? “ Aujourd'hui, un contrat complet assure les préjudices liés à la responsabilité civile, aux coûts de notifications, à la perte de chiffre d'affaires et aux frais de dysfonctionnement ”, précise Luc Vignancour. Même la perte d'image peut être couverte, l'assureur s'engagera alors sur les frais en communication et marketing. Ces contrats sont loin d'être standards et nécessitent une évaluation du risque au cas par cas. Pour cela, l'assureur ou le courtier se mettra en relation avec le Risk Manager de l'entreprise. De cette évaluation découleront le niveau de garantie et la hauteur de la prime annuelle. Et c'est là que le bât blesse.En effet, le marché français des cyberassurances étant tout récent, il n'existe pas d'historique, ni de statistiques actuarielles. Un assureur s'engagera au maximum sur dix millions d'euros d'indemnisation, trop peu pour une grande entreprise. “ Un groupe du CAC 40 devra donc travailler avec plusieurs compagnies qui se partageront le risque, explique le directeur adjoint. Par ailleurs, les primes annuelles sont plutôt élevées, entre 5 et 10 % du montant de l'indemnisation. ” Par comparaison, elles atteignent environ 0,01 % du montant assuré dans un contrat habitation.Pourquoi, alors, ne pas couvrir le risque en interne ? “ Il s'avère difficile de provisionner des sommes suffisantes dans le cadre des cyberattaques, car les préjudices peuvent être très importants, et les attaques se répéter ”, répond Luc Vignancour.
Votre opinion