Publicité

Cyberassurance: comment les entreprises se protègent et à quelles conditions

Les actes de hacking se multiplient. Les possibilités de se protéger avec des assurances également. Sur ce marché en fort développement, les sinistres ne sont toutefois assurés que si des mesures de réduction des risques sont prises. Les rançons ne sont remboursées qu’en ultime recours

Image illustrant la sécurité informatique. — © Sergey Nivens - stock.adobe.com
Image illustrant la sécurité informatique. — © Sergey Nivens - stock.adobe.com
Emmanuel Garessus
Emmanuel Garessus

Le piratage informatique se porte bien. Les hackers frappent des communes (Rolle, Montreux), des entreprises et des particuliers. Au-delà des émotions qu’elles suscitent, les vols de données et les demandes de rançons obligent tous les acteurs à revoir leur gestion des risques et à se protéger.

«Lorsque nous avons débuté sur ce marché spécifique de l’assurance, il y a cinq ans, nous n’étions écoutés très souvent que d’une oreille. Aujourd’hui chacun sait qu’il peut être victime d’un hacking et la souscription à une cyberassurance est fréquente. C’est la ligne d’assurance dont les primes ont augmenté le plus nettement depuis la pandémie, en réponse notamment à la généralisation du télétravail», déclare Pascal Clerc, responsable de la branche risques spéciaux pour la Suisse romande auprès du courtier Kessler à Lausanne. «Les cyberattaques sont souvent le résultat d’un comportement imprudent d’un collaborateur», confirme le porte-parole de Zurich Suisse. L’assureur dit croître fortement dans la cyberassurance, mais les sinistres sont aussi en nette augmentation.

Lire aussi: Les cyberassurances sont-elles vraiment utiles?

Dans le monde, moins de 1% des cyberdommages étaient couverts par une assurance en 2020, selon une note de Morgan Stanley. Mais quelles sont les couvertures offertes aux entreprises suisses et surtout quelles sont les conditions à remplir?

La taille du marché et son histoire

La cyberassurance est un marché de 7,6 milliards de dollars dans le monde en 2020, selon le consultant Mordor Intelligence. Ce dernier prévoit une progression annuelle de 24% d’ici 2026. Il n’existe pas encore de statistiques pour le marché suisse, selon l’Association suisse d’assurances.

Lire encore: Cyberattaque à Rolle: un signal d’alarme pour les communes suisses

Historiquement, les premiers acteurs ont été américains (AIG, Chubb). Ils se sont lancés sur ce créneau avec le développement d’internet au milieu des années 1990. Les assurances se concentraient alors sur les risques liés aux virus informatiques et aux vols de données. Les protections contre les risques de perte d’exploitation et de chantage ont été ajoutées ces dernières années.

En Suisse, il a fallu attendre les années 2017-2020 pour que le cyberrisque fasse l’objet d’une couverture ciblée pour les PME. «L’offre a toutefois évolué car aujourd’hui le cyberrisque est obligatoirement une préoccupation majeure de la direction et du conseil d’administration», lance Jesus Pampin, chef des souscriptions Choses, à la Vaudoise Assurances.

L’évolution récente de la cyberassurance

Les compagnies d’assurance en Suisse étaient initialement à la recherche de nouveaux clients afin de développer leur portefeuille sur ce segment de marché. Les conditions de souscription étaient simples et les primes attractives, indique Pascal Clerc, chez Kessler.

Les assureurs sont devenus plus exigeants en termes de profil de risque. Ils ne se satisfont plus de la présence d’un antivirus et d’un pare-feu, ni des réponses de l’entreprise à un simple questionnaire lorsque le risque à assurer est jugé important ou complexe, mais ils les vérifient auprès de prestataires externes, selon Pascal Clerc. Si la notation est mauvaise, ils refusent de supporter le risque ou exigent des mesures de protection supplémentaires.

Lire également: Le piratage massif de Rolle aura des conséquences politiques

L’accumulation des dommages, survenue ces dernières années, provoque des adaptations au sein de l’offre de cyberassurances. En Suisse, selon Pierre Mitschi, responsable des cyberassurances d’entreprises pour la Bâloise Assurances, si les demandes de couvertures des PME sont en augmentation, les capacités (soit les offres d’assurances) se restreignent pour les grands groupes et les tarifs s’accroissent. «Non seulement l’organisation des entreprises a changé, mais le type d’attaque a aussi évolué», selon Jesus Pampin.

Les cyberrisques couverts

Les assureurs procèdent d’abord à une analyse de l’entreprise et de sa gestion des risques avant de proposer une cyberassurance.

Les produits d’assurance se répartissent en deux grandes catégories de risques, selon Pierre Mitschi, à la Bâloise: Les dommages propres à l’entreprise (élimination des logiciels malveillants, restauration des données, redirection du trafic des paiements, expédition des marchandises) et les dommages à des tiers (responsabilité civile, pertes de données, violation des droits de protection, violation des normes de sécurité, violation des normes de sécurité aux paiements). La perte de chiffre d’affaires et les considérations de responsabilité civile sont aussi des éléments habituels de la couverture, ajoute Zurich Suisse.

La cyberassurance couvre un large spectre de risques. Toutefois, le point où la Vaudoise se distingue, selon Jesus Pampin, reste le soutien apporté par les compagnies d’assurances en terme de gestion de crise, car c’est bien ce qui attend les entreprises qui sont touchées par ce type de cybercriminalité. La Vaudoise se concentre sur les PME, indique Jesus Pampin, Son objectif consiste à offrir un «premier filet de sécurité, c’est-à-dire à accompagner la PME face aux cyberrisques. Concrètement, le contrat est une extension de l’assurance Choses» ou de l’assurance RC, ajoute-t-il.

Les cas non-couverts ou incertains

Parmi les risques non couverts de manière systématique, les assureurs mentionnent souvent les transferts financiers et l’arnaque au président. Ces risques sont sujets à des couvertures spécifiques souvent très utiles mais également onéreuses, explique Jesus Pampin.

Les débats d’experts et également des autorités de surveillance de la FINMA portent actuellement sur la «couverture silencieuse», c’est-à-dire sur les cyberrisques dont la couverture n’est pas expressément exclue des contrats d’assurance (exemple: un incendie suite à un acte cybercriminel). Les compagnies d’assurances couvrent ainsi actuellement des risques «cyber» pour lesquels elles n’ont pas perçu la prime correspondante exposant ainsi leur portefeuille à de nouveaux risques qui sont encore à appréhender aussi bien par les entreprises que par les assureurs et réassureurs.

Les prix habituels pour une PME

La prime est fonction du risque du client et de l’étendue de la couverture. A la Bâloise, la protection coûte environ 1500 francs par an pour une solution standard offerte à une PME de taille moyenne, selon Pierre Mitschi. La prime est toutefois fonction du choix entre trois solutions possibles (poursuite de l’activité, avec ou sans perte de chiffre d’affaires, avec ou sans cyberchantage).

Les rançons ne sont pas toujours couvertes

Le remboursement des rançons fait débat au sein des assureurs. «Nous sommes face à un dilemme puisque, si nous payons, nous contribuons à la bonne marche des affaires des cybercriminels», déclare Jesus Pampin, à la Vaudoise Assurances. L’assureur vaudois souhaite toutefois, «lorsque la situation l’exige, accompagner nos clients y compris dans cette démarche controversée mais qui peut sauver une entreprise de la fermeture.» Concrètement, la Vaudoise «prend en charge le paiement de la rançon jusqu’à concurrence de 20% de la somme d’assurance et dans la mesure où nous aurions déterminé ensemble avec le client qu’il s’agissait de la solution la plus adaptée. »

La tonalité est proche à la Bâloise, où Pierre Mitschi, insiste pour mentionner que le remboursement des tentatives de chantage n’intervient qu’en ultime recours, et avec une limite à 50 000 francs au maximum.

«Les rançons ne sont payées que très rarement car notre objectif est de ne pas en arriver à cet extrême», poursuit le porte-parole de Zurich Insurance. Les rançons ne sont donc guère remboursées, spécialement lors d’attaques avec un logiciel malveillant. Le montant couvert est limité et jusqu’à un maximum de 25% de la somme assurés, selon Zurich Suisse. En outre le preneur d’assurance doit consulter l’assurance au préalable.

Pascal Clerc, chez Kessler, confirme que les rançons ne sont parfois pas remboursées par les assureurs, notamment pour des raisons éthiques.

Les acteurs anglo-saxons ont continué à couvrir ce risque, mais en raison de l’augmentation des attaques, des montants en jeu (quelques dizaines de milliers de francs au début et aujourd’hui parfois plusieurs millions de francs) et de la main mise d’organisations criminelles, «il est devenu très compliqué de les couvrir au-delà de 5 millions de francs, même en instaurant une franchise élevée», indique le courtier.

Couvrir les communes?

Après les affaires de Rolle et de Montreux, la question se pose de la couverture des communes suisses. Zurich Suisse couvre les communes, ainsi que Bâloise Assurances. Cette dernière n’offre par contre pas de protection de cyberrisque pour les sociétés financières, pour des raisons de cumul des risques, selon Pierre Mitschi.

La recrudescence des demandes des communes suscite une analyse précise de chaque situation, indique Pascal Clerc, auprès de Kessler. Si les mesures de protection sont jugées suffisantes, des assureurs suisses peuvent encore proposer une solution pour ce type de risque. Mais les assureurs préfèrent ne pas faire d’affaire que d’offrir une protection à un client avec lequel ils sont trop hésitants.