La période du Covid-19 fait le bonheur des cyberpirates. Durant la première semaine de confinement, on a assisté à une augmentation de 400 % des attaques de phishing. Pourtant, à l’exception des grandes entreprises du Cac 40, l’immense majorité des sociétés françaises hésitent lorsqu’il s’agit de souscrire une cyberassurance. Les PME ne sont pourtant pas épargnées par le fléau alors qu’un piratage réussi peut avoir de graves conséquences financières. Le point sur la question avec Julien Nelkin, Agent Général Aviva et gérant de JNK Assurances.

 

Quel est le degré de maturité des entreprises françaises par rapport au sujet de la cyberassurance ?

Aujourd’hui, les entreprises investissent de plus en plus dans le domaine de la cybersécurité afin de se protéger. Si la cyberassurance fait partie de ce socle, le constat est néanmoins clair : souscrire à une assurance contre les risques cyber n’est pas encore totalement ancré dans les habitudes des sociétés françaises, à l’exception de celles du Cac 40 qui à environ 75% ont souscrit une telle police. Toutefois, nombreuses sont les entreprises à ne pas le faire du tout. Je pense en particulier aux PME et TPE qui, souvent, n’ont pas de politique claire et ordonnée de protection de leur système d’information, alors qu’elles ne sont pas épargnées par les attaques. Se munir d’une assurance cyber afin de couvrir ses frais financiers en cas d’acte malveillant ou de panne interne compromettant le SI n’est pas un luxe. C’est un complément indispensable à une politique de protection et cela concerne tous les types d’entreprise.

 

Que vient couvrir concrètement une assurance cyber ?

Une police cybersécurité comprend plusieurs volets. Le premier concerne l’assistance à la gestion de crise. Une entreprise va détecter un incident sur son SI. Elle va alors appeler son assureur qui va l’aider à prendre les mesures nécessaires qui comprennent conseils techniques et juridiques, investigation pour identifier les problèmes, communication, etc. Le second volet concerne directement l’évaluation des dommages sur les biens afin de reprendre une activité le plus rapidement possible: perte d’exploitation, reconstitution des données qui ont été corrompues, frais supplémentaires liés à la remise en fonction des machines ou encore frais d’expertise informatique sont quelques-uns des exemples de dommages qui ont pu affecter l’entreprise. Il faut noter que les menaces prisent en compte peuvent être externes du fait d’une cyber attaque mais aussi internes du fait d’une erreur humaine ou d’une malveillance.

 

Qu’en est-il de la responsabilité civile de l’entreprise suite à un incident cyber ?

C’est également un point fondamental couvert par une cyberassurance. Rappelons que la notion de responsabilité civile correspond aux dommages causés à des tiers. Dans notre cas, il s’agit de l’atteinte à la vie privée ou à la confidentialité des données, de l’atteinte à la sécurité du réseau informatique de l’entreprise, et de l’atteinte à son image. Depuis 2018, le Règlement général sur la protection des données (RGPD) s’impose à tous les professionnels qui doivent avoir la maîtrise de la sécurité et la confidentialité des données qu’ils traitent et informer la CNIL en cas de problème. C’est, par exemple, la perte par un comptable d’une clé USB sur laquelle figuraient les bilans comptables de ses clients ou des données personnelles les concernant. Un tiers concerné peut alors porter réclamation du fait de la divulgation publique de ses données personnelles. Le troisième volet d’une police de cyberassurance va donc venir couvrir cette responsabilité-là.

 

La crise du Covid-19, qui a vu les cyberattaques se multiplier, peut-elle jouer un rôle d’accélérateur du marché de la cyberassurance ?

Il faut, là encore, distinguer la grande et la petite entreprise. La crise sanitaire a fait prendre conscience aux très grandes structures que le risque était toujours présent même quand on est protégé par la mise en place d’une politique de cybersécurité logicielle et matérielle. Par contre, au niveau des petites entreprises, je resterai prudent. La prise de conscience est bien moindre auprès de ces dernières. Je suis agent général d’assurance Aviva en contact permanent avec le terrain. Quand je suis sollicité pour un devis ou un audit d’une entreprise peu importe sa taille, j’émets systématiquement une proposition qui va couvrir l’intégralité des risques courus par l’entreprise dont le volet cyber fait partie. Mais sur celui-ci, les réponses que je reçois sont bien souvent négatives. Les PME se pensent trop souvent à l’abri du danger car elles ont déjà pris des mesures d’ordre technique (logiciels, pare-feu…) qu’elles estiment, à tort, imparables. Cela va prendre encore du temps pour que le réflexe cyberassurance s’impose au sein des petites entreprises malgré mon rôle de conseil. Il est regrettable qu’une police d’assurance soit souscrite après que l’incident ait eu lieu, c’est pourtant mon quotidien.