Le gouvernement s’est emparé du sujet de l'assurance cyber début septembre 2022, dans le cadre du projet de loi d'orientation et de programmation du ministère de l'Intérieur, présenté en conseil des ministres le 7 septembre 2022. Le ministère de l'Economie a acté dans un rapport le principe d'indemnisation des rançons payées par les entreprises visées par cyberattaques, à condition qu’elles portent plainte.
Cette recommandation devrait inciter les assureurs à prendre en charge ces rançons et permettre ainsi aux entreprises, quelle que soit leur taille, d’être mieux couvertes en matière de risques cyber. Une nécessité quand on sait qu’une entreprise sur 2 a été victime d’une cyberattaque l’année dernière, alors que la plupart ne sont pas assurées.
En effet, toutes les entreprises, quelle que soit leur taille, dès lors qu’elles sont informatisées et gèrent des données personnelles, sont potentiellement concernées par le risque cyber, et pas seulement les sites de e-commerce ou les banques, mais aussi les médecins, experts-comptables, avocats. Mais trop peu d’entreprises sont couvertes car cela représente un coût supplémentaire, alors même que le risque de piratage informatique est désormais plus élevé que le risque incendie, avec en outre des conséquences plus importantes car contrairement à un incendie qui ne touchera qu’un entrepôt ou un bureau, une cyber attaque peut toucher l’ensemble du réseau et donc des sites d’une entreprise !
Les chiffres récents en attestent : selon l’Agence nationale de la sécurité des systèmes d’information les attaques par rançongiciel (ou ransomware) contre les entreprises françaises, c’est-à-dire la prise d’otage des données d’une entreprise contre une rançon, ont augmenté de 255% en 2020 par rapport à 2019. Si d’après Bercy, en France, la rançon moyenne réclamée atteint 6.400 euros en 2021, un chiffre en hausse de 50% par an depuis 2016, le coût global d’une attaque, incluant la perte d’exploitation, les destructions des outils informatiques, la fuite de données et l’impact en termes d’image atteint entre 30.000 et 60.000 euros.
Pour autant, d’après le Trésor, l'assurance cyber ne représente que 3% des cotisations en assurance dommage des professionnels, alors que ce risque s’accroît chaque année, et concerne toutes les entreprises, il est nécessaire d’être bien assuré. L’assurance cyber prend en charge l’ensemble des conséquences et dommages liées à la cyber attaque : de la garantie responsabilité civile, en cas de recours notamment des clients affectés, aux dommages liés à l’infection et la destruction des outils informatiques de l’entreprise. Certains assureurs mettent à disposition une assistance informatique pour gérer l’attaque, avec un prestataire disponible 24H/24H, y compris le week-end pour agir immédiatement en cas d’attaque en en limiter l’impact et la propagation à l’ensemble du réseau ou des outils, et donc la perte d’exploitation.
Concernant le paiement de rançon, certaines compagnies, prennent en charge la rançon et la cyber extorsion, mais elles encore sont peu nombreuses car jusqu’à maintenant, on était dans une zone grise. Sous l’impulsion du gouvernement, les assureurs pourraient revoir leur position sur ce point. Par ailleurs, certaines compagnies vont plus loin et assurent également la fraude des emails, l’usurpation d’identité du dirigeant, les piratages des accès aux comptes ou la validation des virements…
Le coût des assurances contre les risques cyber varient en fonction des entreprises, mais globalement, il faut compter en moyenne de 500 à 1000 euros pour une TPE et 3.000 euros pour une PME. Au-delà, des offres sur mesure sont proposées en fonction du CA mais aussi de l’activité et de son exposition aux risques cyber. En outre, via l’assurance cyber il est possible de bénéficier d’un audit gratuit pour analyser leur système informatique, l’améliorer et en réduire les failles. Cette prévention permet ainsi de limiter les risques dont les coûts et l’impact en termes d’images vont parfois au-delà de ce qui sera indemnisé…