Vers le haut
Thèmes Thèmes de l'industrie 4.0
Ist eine Cyberversicherung notwendig und sinnvoll?
Retour

Une cyberassurance est-elle nécessaire et utile ?

8. July 2024
Que paie une assurance si une cyber-attaque a eu lieu dans mon entreprise ? Puis-je me protéger en souscrivant une cyberassurance ? Ces questions et d'autres se posent aujourd'hui à un nombre croissant d'entreprises. Vous trouverez des réponses et d'autres insights sur cette thématique brûlante dans l'interview de Benno Leuenberger d'Aveniq Avectris AG.

Chaque jour, on lit dans les quotidiens que des entreprises sont victimes de cyber-attaques. Cela se reflète-t-il chez les assureurs dans les déclarations de sinistre ?

Benno Leuenberger : Les assurances établissent une relation de confiance avec leurs clients. Il n'est donc pas étonnant qu'aucune information fiable ne soit publiée à ce sujet. Une autre difficulté pour répondre à cette question réside dans le fait que les entreprises concernées n'ont pas toutes conclu une cyberassurance. Les informations publiées dans les quotidiens ne reflètent également que les cas les plus marquants. Plus de 34 000 rapports d'incidents cybernétiques ont été reçus par le NCSC (Centre national de cybersécurité) en 2022. Cela représente une augmentation de 58 % par rapport à l'année précédente.

 

Certaines entreprises partent du principe qu'elles sont protégées d'une attaque par une cyberassurance. Comment percevez-vous cela de votre point de vue ?

Benno Leuenberger : Une cyberassurance n'offre pas de protection contre une attaque, mais règle uniquement certaines conséquences financières et certains dommages. D'autre part, une cyberassurance peut rarement être conclue sans mesures de sécurité préalablement mises en œuvre, afin de réduire également les risques. La plupart des assurances proposent à cet effet, en coopération avec des partenaires, des services complets allant de l'auto-contrôle en ligne à des évaluations et des formations.

 

Comment réagissez-vous aux déclarations selon lesquelles l'entreprise demandeuse estime qu'elle n'est pas une cible intéressante pour une cyberattaque ?

Benno Leuenberger : C'est malheureusement une déclaration que nous rencontrons souvent et qui ne signifie rien d'autre que de fermer les yeux sur la vérité (désagréable). On lit/entend souvent parler des grandes entreprises ou des entreprises connues qui ont été touchées par une attaque. D'un autre côté, les nombreux incidents impliquant des particuliers bénéficient également d'une attention médiatique. Il est extrêmement improbable que toute la "classe moyenne", par exemple les PME, ne soit pas une cible lucrative d'attaques. La motivation des cyberattaques peut se résumer à deux aspects : L'argent et l'image - c'est-à-dire que l'attaque promet un gain d'argent ou d'image. Chaque entreprise doit donc se demander si un attaquant peut gagner de l'argent avec elle. Et oui, c'est le cas dans tous les cas ! Que ce soit dans le sens de secrets d'entreprise (espionnage économique), de données (pour la revente ou le chantage) ou même de chantage direct, où les liquidités d'une entreprise sont réclamées. Enfin et surtout, une attaque permet de paralyser (temporairement) la concurrence gênante.

Comme les cyberattaques peuvent aujourd'hui être achetées comme "solution" ou même comme service à des conditions extrêmement avantageuses sur les forums spécialisés, il n'est même plus nécessaire de disposer de connaissances informatiques spécifiques pour attaquer une entreprise/un particulier.

 

Les entreprises peuvent prendre elles-mêmes les plus grandes mesures de protection. Des termes tels que l'authentification multi-facteurs et la stratégie de sauvegarde sont souvent cités à cet effet. Comment évaluez-vous le niveau de connaissances des entreprises à ce sujet ?

Benno Leuenberger : De nombreuses entreprises sont conscientes de l'importance d'un MFA ou d'une sauvegarde. D'après notre expérience, la mise en œuvre conséquente s'avère être un défi. Par exemple, tous les accès externes ne sont pas sécurisés avec l'AMF, parce que ce n'est pas pratique ou que c'est un peu plus compliqué. Les sauvegardes sont écrites quotidiennement, mais pas ou insuffisamment testées.

Malheureusement, la plupart des gens assimilent encore aujourd'hui la cybersécurité à des mesures techniques de protection dans leur propre informatique. Donc : antivirus, pare-feu, MFA et sauvegarde suffisent. La réalité donne par contre une autre image : 80% des cyber-attaques ont lieu soit par le biais de mails et, avec une tendance à la hausse, par la connexion avec les fournisseurs/partenaires. Parallèlement, dans la plupart des cas, l'informatique ne peut plus être protégée par un concept de zones. Les technologies et architectures modernes intégrant le cloud et ses services (p. ex. échange de données, médias sociaux, etc.) ne peuvent plus être protégées uniquement en interne.

Nous n'attendons pas d'une entreprise qu'elle puisse toujours se tenir au courant des dernières connaissances - la matière est d'une part trop complexe et d'autre part soumise à des changements rapides, non seulement sur le plan technique mais aussi sur le plan législatif. Nous recommandons plutôt aux entreprises d'inclure les cyber-attaques dans leur évaluation des risques (il s'agit d'une tâche essentielle de la direction) et de faire ensuite appel à des spécialistes.

 

Existe-t-il une base établie (guide ou autre) sur laquelle les entreprises peuvent s'appuyer pour augmenter la sécurité interne en matière de cyberattaques ?

Benno Leuenberger : Outre les prestataires de services spécialisés, les assurances proposent également divers outils sous forme de listes de contrôle et de guides. Nous souhaitons tout particulièrement attirer l'attention sur le site de la Confédération. Le Centre national de cybersécurité (NCSC) propose sur son site non seulement des informations sur l'état des menaces, mais aussi des guides et un "aide-mémoire sur la sécurité de l'information pour les PME".

 

L'homme est toujours considéré comme le principal point faible des cyberattaques. Les assurances proposent-elles un soutien préventif à cet égard ?

Benno Leuenberger : En guise d'introduction, il convient de noter que les chaînes d'approvisionnement sont désormais aussi souvent utilisées comme point faible/porte d'entrée que l'homme.

Les assurances et les entreprises spécialisées proposent un soutien préventif. Cela commence par la sensibilisation des collaborateurs (awareness) et la formation correspondante. Ensuite, l'efficacité des mesures doit être vérifiée par des campagnes appropriées. Il ne s'agit pas ici d'identifier les comportements erronés et de punir les personnes concernées, mais d'optimiser les mesures de manière ciblée.

 

Quelle est selon vous l'ampleur de la nécessité d'agir sur le thème de la cyberassurance dans les entreprises ?

Benno Leuenberger : Les entreprises font une erreur si elles pensent qu'elles n'ont pas à se préoccuper de la sécurité simplement parce qu'une assurance peut être souscrite. Nous avons déjà rencontré ce préjugé à plusieurs reprises.

Chaque entreprise doit être consciente des coûts qui sont couverts par une assurance et de ceux qui ne le sont pas. Mais cela exige aussi que l'on soit conscient des dommages possibles. Souvent, seuls les dommages directs sont pris en compte. En revanche, les entreprises concernées subissent la plus grande perte en termes de confiance et d'image ; ces dommages sont généralement plusieurs fois supérieurs aux dommages assurés et ne sont couverts par aucune assurance.

A cela s'ajoute la nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023 et sera contraignante pour toutes les entreprises. Ce qui est intéressant ici, c'est la sanction des violations de la protection. Pour les personnes physiques, l'amende maximale en cas de violation des obligations d'information et de divulgation ainsi que de certaines obligations de diligence peut s'élever à 250 000 CHF par infraction. Contrairement au RGPD, qui prévoit une responsabilité des entreprises, les personnes responsables au sein de l'entreprise, telles que le/la CEO, le CIO ou d'autres responsables, peuvent être directement sanctionnées. Ou, pour être plus clair : En cas de violation des dispositions, des amendes pouvant aller jusqu'à 250 000 CHF sont mises à la charge de la personne physique responsable. Il est donc plus que douteux qu'une assurance d'entreprise couvre également les personnes physiques.

Pour répondre définitivement à la question : Nous voyons un grand besoin d'action de la part des entreprises sur le thème de la cyberassurance et cela devrait être considéré dans un contexte global de cybersécurité. L'avantage d'une demande auprès d'une assurance réside bien sûr aussi dans le fait que le questionnaire sert d'auto-évaluation. Certaines entreprises se mettent ainsi à réfléchir et, espérons-le, à agir.

 

Quelles conditions doivent être remplies par l'entreprise pour qu'une assurance puisse être conclue ?

Benno Leuenberger : Cela diffère d'une assurance à l'autre. Certaines assurances font de la publicité avec "conclusion simple sans questionnaire". Nous remettons cela en question. Dans les "petits caractères", certains risques sont exclus si un ensemble (minimal) de mesures de sécurité n'est pas mis en œuvre. La plupart du temps, les assurances proposent également un conseil afin de déterminer le profil de risque et de créer les conditions nécessaires à une souscription.

Bien que la gestion des cyberrisques concerne aujourd'hui pratiquement chaque entreprise, le besoin concret d'assurance est très individuel en raison du large éventail de risques et de dommages qui en résultent : une entreprise de sous-traitance dans l'industrie des machines a d'autres besoins de couverture que l'exploitant d'une boutique en ligne, qui en a d'autres qu'un établissement financier. C'est précisément parce que les produits d'assurance proposés sur le marché - qui sont même parfois adaptés aux besoins spécifiques de la branche - sont conçus différemment et ne couvrent à chaque fois que des risques isolés, qu'une analyse individuelle des besoins est essentielle avant de conclure une assurance pour la couverture des cyberrisques.

 

Les primes des cyberassurances ont fortement augmenté ces dernières années. Existe-t-il une procédure ou des mesures permettant aux entreprises de maintenir leurs primes à un niveau aussi bas que possible ?

Benno Leuenberger : La prime d'assurance est généralement fonction de la somme assurée et du profil de risque.

Le paysage de la cyberassurance évolue en permanence en Europe et en Suisse. Comme par le passé, les offres d'assurance sont difficiles à comprendre pour les non-initiés. Un conseil professionnel et l'examen des besoins de couverture individuels sont donc indispensables. En raison de l'augmentation des risques cumulés, les assurances données par les entreprises concernant leurs propres normes de sécurité informatique et de conformité gagneront en importance à l'avenir. Pour de bonnes raisons, les assureurs seront de moins en moins disposés à assurer le chat dans le sac.

Les cyberattaques touchent non seulement les infrastructures critiques, mais aussi de plus en plus de grandes entreprises et de PME. Les cyberdommages, qui ont fait un bond en avant ces dernières années, engloutissent des centaines de millions pour les groupes d'assurance. Pour limiter leurs risques, de nombreuses compagnies d'assurance ont déjà augmenté les prix de leurs offres. Ou alors, elles ont adapté leurs polices de manière à ne plus couvrir tous les dommages. Dans une interview accordée au Financial Times, Mario Greco, CEO de Zurich Insurance, a même mis en garde : "Les cyber-attaques deviennent inassurables".

 

Les prestations à assurer sont les interruptions d'activité dues aux cyberattaques, le vol de données, le chantage en ligne ou les atteintes à la réputation. Quelles sont les prestations d'assurance les plus souvent demandées ?

Benno Leuenberger : Nous ne pouvons malheureusement pas donner d'indications à ce sujet.

 

Y a-t-il des dommages ou des prestations qui ne sont explicitement pas assurés ?

Benno Leuenberger : Les définitions de cas d'assurance peuvent être formulées de manière très restrictive. Cela ne vaut pas seulement pour les cyberpolices, mais aussi pour d'autres produits comportant des éléments de cyberrisque. Il arrive par exemple que seuls les dommages résultant d'attaques "ciblées" soient expressément couverts, ce qui exclut les dommages résultant de logiciels malveillants utilisés de manière non ciblée contre l'entreprise assurée et qui pourraient toucher un nombre indéterminé d'utilisateurs. Des restrictions indésirables de la couverture d'assurance peuvent également résulter d'autres définitions restrictives des risques assurés. C'est le cas, par exemple, lorsque seuls les dommages résultant d'"infractions" ou d'"actes punissables" commis par des collaborateurs sont couverts, ce qui exclut ceux résultant d'actes illicites du point de vue du droit purement civil (p. ex. concurrence déloyale ou violation des droits de marque). Des restrictions similaires apparaissent lorsque seuls les actes intentionnels des collaborateurs sont couverts, et non les dommages résultant d'une simple négligence.

Les clauses d'exclusion doivent également faire l'objet d'une attention particulière dans ce domaine. Elles prévoient régulièrement des exclusions de couverture si aucune mesure de sécurité actualisée en permanence (pare-feu, utilisation d'un logiciel de protection anti-virus) n'est prise ou si du matériel ou des logiciels insuffisamment performants, c'est-à-dire obsolètes, sont utilisés. Comme le respect de ces exigences peut être lié à des coûts élevés pour les preneurs d'assurance, il existe un potentiel de conflit quant à l'interprétation de la portée de telles clauses. D'autres clauses d'exclusion courantes peuvent également donner lieu à des interprétations. Ainsi, les dommages résultant d'événements de guerre et de terrorisme sont exclus par défaut de la couverture d'assurance, mais il n'est pas clair si et dans quelle mesure ces exclusions s'appliquent également à des phénomènes apparentés dans le cyberespace (p. ex. attaque de pirates informatiques par un service secret étranger ; utilisation de bombes logiques, etc.)

 

Question finale : avez-vous un conseil personnel à donner à la personne responsable de la cybersécurité dans une entreprise, du point de vue de l'assurance ?

Benno Leuenberger :

  • Les solutions d'assurance actuellement disponibles sur le marché ne couvrent à chaque fois qu'une partie du large spectre des cyberrisques. C'est pourquoi une analyse individuelle minutieuse des besoins est essentielle.
  • En raison de l'hétérogénéité des concepts de couverture et des conditions d'assurance, il existe un risque considérable de lacunes de couverture et d'assurances multiples. Il est donc recommandé de procéder à une analyse comparative de différents produits en tenant compte de la couverture d'assurance existante.
  • Des restrictions importantes de la couverture d'assurance peuvent également résulter d'obligations contractuelles de comportement de l'assuré ou de clauses dites de dommages en série.
  • Il convient d'accorder une attention particulière à la prise en compte des risques résultant de la mise en réseau de systèmes informatiques dans le cadre de solutions d'externalisation et d'autres coopérations avec d'autres entreprises basées sur la division du travail.
  • Une atteinte à la réputation ne peut pas être compensée par de l'argent. Chaque entreprise devrait se préparer à une attaque réussie et mettre en place des mesures de protection adéquates.

Notre site web utilise des cookies afin de pouvoir améliorer notre page en permanence et vous offrir une expérience optimale en tant que visiteurs. En continuant à consulter ce site web, vous déclarez accepter l’utilisation de cookies. Vous trouverez de plus amples informations concernant les cookies dans notre déclaration de protection des données.

Si vous désirez interdire l’utilisation de cookies, par ex. par le biais de Google Analytics, vous pouvez installer ce dernier au moyen des modules complémentaires du présent navigateur. 

J'ai compris