Le 17 septembre dernier, l’Assistance Publique des Hôpitaux de Paris (APHP) a été touchée par une attaque informatique de grande ampleur engendrant la divulgation de résultats de dépistage du Covid-19 en 2020 ainsi que les numéros de sécurité sociale des assurés. Cette attaque a concerné 1,4 millions de personnes.
Quoi qu’il en soit, dans l’édition 2019 du baromètre de la Fédération Française de l’Assurance (FFA) des risques émergents pour l’assurance, le risque cyber figurait parmi les principaux risques ainsi que les plus élevés à moyen terme.
Pour faire face à l’émergence et à la recrudescence de ce risque, le législateur a mis en œuvre en 1978, la loi informatique et liberté ainsi que celle de programmation militaire pour la période 2014-2019. Enfin, en mai 2018, est entrée en vigueur la réglementation relative à la protection des données en lien avec le Règlement pour la Protection des Données (RGPD).
Qu’est-ce qu’une cyberattaque ?
Une cyberattaque se définit comme une tentative délibérée et volontaire d’une personne ou d’une organisation engendrant le vol de données personnelles, sensibles en vue de réclamer le paiement d’une rançon ou bien la vente de celles-ci à des personnes ou organisations malveillantes.
- La naissance des attaques cyber
La première attaque cyber s’est déroulée en 1988 avec l’utilisation du « ver Moriss ». Ce ver informatique était paramétré pour se répliquer d’ordinateur à ordinateur. Cette technique permettait de rendre inutilisables tous les ordinateurs connectés à internet. En 2017, le rançon logiciel Wanacry s’est attaqué à de nombreuses entreprises. De 1988 à aujourd’hui, les cyber-risques ont continué de se développer.
- L’émergence de différentes formes de cybermenaces
- Les rançongiciels ou les Ransomwares
Cette attaque consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses
données et lui demande une rançon en échange du mot de passe de déchiffrement.
- L’espionnage aux concurrents
Le sabotage, cette attaque s’apparente à une « panne organisée » venant neutraliser tout ou partie d’un système informatique d’une organisation. Cette attaque peut avoir de lourdes retombées économiques mais aussi médiatiques (Cheval de Troie).
- L’attaque par hameçonnage ciblé
Généralement, le courriel usurpe l’identité d’une personne morale ou d’une personne physique dans le but de duper le destinataire. Ce courriel l’invite à ouvrir un pièce jointe malveillante ou bien cliquer sur un lien malveillant. Cette attaque est de plus en plus répandue. Elle est plus connue sous le nom de Spearphishing.
- L’utilisation de virus informatiques ou de vers informatiques
Ces virus ont pour but de voler les données et les savoir-faire d’une organisation par le biais d’un virus informatique.
Qu’est-ce qu’une cyber-assurance ?
C’est une police d’assurance qui vise à protéger les institutions, sociétés mais aussi les particuliers contre les conséquences d’une cyberattaque.
Actuellement, l’Europe représente moins de 10% du marché mondial en matière de risques cyber.
En effet, les assureurs font face à l’augmentation des risques, une demande accrue. Ceci oblige l’assureur à toujours actualiser son offre en fonction de l’évolution du risque. En effet, il est parfois difficile pour l’assureur de se rendre compte de l’étendue du risque, notamment lors de la souscription car certaines données confidentielles ne sont pas délivrées à l’assureur.
Les assureurs ont mis en place des solutions qui ont pour but de couvrir tout ou partie des risques liés aux cyber-attaques. La plupart des polices couvrant ces risques ont un plafond de garantie estimé oscillant entre 50 000 euros et 15 millions d’euros par an ainsi que des franchises généralement élevées, restant à la charge de l’assuré pouvant aller jusqu’à 1 million d’euros.
Peu d’assureurs sont spécialistes de ces risques qui constituent une niche largement dominée par des Anglo-saxons (AIG, ECA, Nassau, Beazeley…).
À quel public s’adresse la cyber-assurance ?
La cyber-assurance s’adresse à toute entreprise disposant d’une composante en ligne ou qui envoie, stocke des données électroniques, personnelles, financières, des savoir-faire. La plupart des compagnies d’assurance dispose de garantie contre le risque cyber à destination des professionnels. L’assurance contre les cybers-risques peut aussi concerner les particuliers. En effet, certaines compagnies ont créé des garanties afin de prévenir ce risque. Cette garantie peut être couverte dans le cadre d’un contrat Multirisques Habitation (MRH) avec la garantie contre les cyber-risques.
L’assurance cyber des entreprises et sociétés
Le premier assureur à avoir conçu une solution capable de répondre aux cyber-attaques est Hiscox, compagnie d’assurance française spécialisée en risque professionnel. Cette compagnie couvre tant les coûts de mise en jeu de la garantie responsabilité civile liée à l’utilisation frauduleuse ou à la perte des données personnelles que la réparation des dommages causés à l’assuré (risque d’image, récupération des données perdues) ou les coûts de notification et les pertes de chiffre d’affaires. Hiscox propose également des actions de prévention et de correction par la mise à disposition d’un réseau d’experts et d’avocats très spécialisés dans les risques cyber.
L’assurance cyber à destination des entreprises prend la forme d’un contrat à part entière comme le contrat Cyber Risques de la SMA BTP ou le contrat Cyber Secure de la compagnie AXA. Il y a aussi, comme pour les particuliers, des contrats multirisques professionnelles disposant d’une garantie couvrant les conséquences des cyber-risques comme le contrat Multirisque professionnel de la MACSF. La plupart des contrats ont vocation à prendre en charge les frais d’expertise afin d’identifier la nature et l’origine de l’attaque, les frais de protection juridique (information juridique et résolution du litige à l’amiable ou au judiciaire), les coûts de reconstitution des données détruites ou endommagées et les frais supplémentaires d’exploitation, l’indemnisation de la perte d’exploitation ainsi que les conséquences aux tiers notamment (liste non-exhaustive selon les contrats). Ces contrats disposent souvent d’un service d’assistance disponible 24h/24 et 7j/7 afin de pouvoir prendre en charge le plus rapidement possible le litige et accélérer sa résolution, son indemnisation. Un grand nombre de ces contrats dispose d’une cotisation ou d’une prime d’assurance calculée sur la base de son dernier chiffre d’affaires connu à la date de souscription.
L’assurance cyber à destination des particuliers
Le marché des assurances contre les cyber-risques à destination des particuliers est en pleine expansion notamment avec l’émergence de contrat contenant des garanties sur-mesure et ajustables. Les garanties les plus souvent retrouvées englobent l’atteinte à la e-réputation, l’atteinte aux systèmes
d’information, l’usurpation d’identité et la bonne livraison des achats en ligne avec des plafonds de
garantie différents en fonction des contrats, des garanties souscrites et de la compagnie d’assurance.
Le marché de l’assurance cyber est plus avancé à l’international notamment en Suisse, en Nouvelle- Zélande ou encore aux Etats-Unis avec des compagnies qui ont fait le choix de développer des polices d’assurance plus ciblées, adaptées à l’ensemble du foyer dans lesquelles on retrouve plus de garanties notamment en ce qui concerne la protection du compte bancaire en ligne.
Aujourd’hui, il convient de constater que le marché de l’assurance cyber des particuliers se développe, répondant à une demande croissante de protection des assurés. De nouvelles offres ne devraient pas tarder à voir le jour, s’adaptant ainsi de manière toujours plus ciblée aux nouveaux visages de ces risques.
Malgré l’émergence de contrat d’assurance par des compagnies de renommée mondiale, celles-ci font aussi l’objet de cyber-attaques. Pour diminuer l’étendue et les conséquences de ces attaques, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), qui est le « gendarme » de la finance et des compagnies d’assurance a publié le 2 juillet 2021 une notice relative à la sécurité de l’information et à la gouvernance des Technologies de l’information et de la communication (TIC) à destination des entreprises d’assurance ou de réassurance relevant du régime « Solvabilité II » en lien avec les orientations publiées par l’Autorité européenne des assurances et des pensions (AEAPP) en octobre 2020. Cette notice met en exergue la nécessité de prendre au sérieux le risque informatique, celui-ci devant être au cœur de la stratégie des organes de gouvernance.
Clarisse MAGNON