La digitalisation prenant de plus en plus d’ampleur, elle a inévitablement ouvert la porte à de nouvelles formes de criminalité que les malfaiteurs peuvent exploiter. Les cyberattaques sont devenues quotidiennes et peuvent toucher autant les particuliers que les entreprises, les institutions ou encore l’Etat. Pour exemple, en Suisse, l’année 2021 n’a pas été de tout repos pour certains acteurs de la vie économique. La commune de Rolle s’est vu arracher les données confidentielles de ses habitants à cause d’une cyberattaque qui avait visé le réseau informatique communal. On a appris par la suite que ces données avaient été publiées sur le Darknet 1RTS. La gravité de la cyberattaque de la commune de Rolle sous-estimée par les autorités [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.rts.ch/info/regions/vaud/12442317-la-gravite-de-la-cyberattaque-de-la-commune-de-rolle-sousestimee-par-les-autorites.html . Quelques semaines plus tard, c’est au tour de la commune de Montreux d’être la cible d’une cyberattaque 224heures. La commune de Montreux victime d’une cyberattaque [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.24heures.ch/la-commune-de-montreux-victime-dune-cyberattaque-257699560990 . S’ajoutent à cela toutes les attaques faites à l’encontre d’entreprises, comme par exemple, les cliniques privées Pallas, pour n’en citer qu’une 3RTS info. Les cliniques Pallas victimes d’une cyberattaque [en ligne]. [Consulté le 13.12.2021] Disponible à l’adresse : https://www.swissinfo.ch/fre/les-cliniques-pallas-victimes-d-une-cyberattaque/46871336 . Le Centre national pour la cybersécurité (NCSC) 4NSCS. Centre nation pour la Cybersécurité[en ligne]. [Consulté le 13.12.2021] Disponible à l’adresse : https://www.ncsc.admin.ch/ncsc/fr/home.html indiquait dans son rapport du premier semestre 2021, un total de 10’234 annonces de cyberincidents. Ce nombre correspond au double d’annonces effectuées durant la même période l’année précédente 5Centre national pour la cybersécurité NCSC. Sécurité de l’information. Situation en Suisse et sur le plan international [en ligne]. [Consulté le 13.12.2021] Disponible à l’adresse : https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/berichte/lageberichte/halbjahresbericht-2021-1.html . Ces chiffres peuvent notamment être expliqués par la pandémie 6RTS. La cybercriminalité génère des milliards et pousse des sociétés vers la faillite [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.rts.ch/info/sciences-tech/12173038-la-cybercriminalite-genere-des-milliards-et-pousse-des-societes-vers-la-faillite.html : plusieurs employeurs ont demandé à leurs collaborateurs d’utiliser leur équipement informatique personnel pendant le télétravail. Ceci a donc engendré des risques supplémentaires au niveau de la sécurité informatique. En effet, en télétravail, l’employé ne bénéficie pas forcément de toute la protection cyber nécessaire. Parfois, la connexion à distance n’est pas sécurisée ou l’employé n’a pas d’autre choix que d’utiliser du matériel personnel dans le cadre professionnel. Ces possibles failles de sécurité laissent la porte entrouverte aux cybercriminels.
Au vu des informations précédentes, il est donc facile pour un responsable informatique d’en tirer la conclusion suivante : la probabilité pour une entreprise de subir une cyberattaque est fort envisageable. La question à se poser est : quand va-t-elle se produire ?
Cyberassurance – qu’est-ce que c’est ?
Une cyberassurance est une police d’assurance qui permet de couvrir les individus et les entités face aux cyberrisques. Elle vise à protéger les assurés contre les conséquences des cyberattaques.
De manière générale, les conséquences d’une cyberattaque, comme la perte de données, la perte de crédibilité, etc., peuvent être désastreuses pour une entreprise. Les coûts financiers peuvent également être exorbitants. De ce fait, la demande d’assurance contre les cyberrisques ne fait qu’accroître. Comme indiqué par une courtière en assurance dans un article de la RTS publié le 7 décembre 2021 7RTS. S’assurer contre le cyber-risque devient plus difficile et plus cher [en ligne]. [Consulté le 12.11.2021]. Disponible à l’adresse : https://www.rts.ch/info/economie/12695159-sassurer-contre-le-cyberrisque-devient-plus-difficile-et-plus-cher.html et L’usine nouvelle. Le coût des assurances contre le risque cyber s’envole…Et ce n’est pas le seul problème [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.usinenouvelle.com/editorial/le-cout-des-assurances-contre-le-risque-cyber-s-envole-et-ce-n-est-pas-le-seul-probleme.N1138238 , « (…) il y a vraiment un boom des contrats de cyberassurance cette année (…) ». Vu l’accroissement et l’ampleur des attaques, les assureurs n’hésitent pas à augmenter leurs primes. Dans l’article cité, on peut constater que la prime de la cyberassurance d’une société de gestion de fortune a doublé. Dans ce cas précis, elle est passée de CHF 20’000.- à 40’000.-.
Outre l’augmentation des primes par diverses assurances, certaines de ces sociétés ont retiré la cyberassurance de leur catalogue de services. L’indemnisation de nombreux sinistres qui sont étroitement liés à la hausse des cyberattaques en est la cause.
Cyberassurance pour une personne morale
Pour pouvoir bénéficier d’une assurance, il y a certaines conditions que le potentiel cocontractant doit remplir, notamment la mise en place d’un système de sécurité performant dans l’entreprise.
L’assurance souscrite par une société peut dépendre du domaine d’activité dans lequel elle évolue, « (…) [du] niveau de dépendance de la société à son système informatique et (…) [de] la durée d’interruption du système que l’entreprise peut supporter avant de subir un impact notable » 8Swissriskcare. Assurance cyber risque entreprise, pourquoi est-ce important d’y penser ? [en ligne]. [Consulté le 17.12.2021].Disponible à l’adresse : https://www.swissriskcare.ch/actualites/cyberattaques . Il est important pour l’assurance de bien comprendre le domaine d’activité de son client, car certains secteurs sont beaucoup plus touchés par les cyberattaques que d’autres. Les besoins diffèrent donc d’une entreprise à l’autre. La personne morale qui veut s’assurer doit également avoir la volonté de prévenir les cyberrisques qui lui font face, faute de quoi la souscription à l’assurance peut être mise en péril.
Il existe bien évidemment beaucoup d’éléments sur lesquels les entreprises peuvent s’assurer en matière de cybersécurité. Les risques assurés peuvent notamment être les suivants : perte de données, fraude de paiement en ligne, fraude à la carte de crédit, l’installation de logiciels malveillants, manipulation et publication de données, défaillance du système informatique, etc.
Le ransomware, une cyberattaque bien connue
Pour rappel, un ransomware est un logiciel informatique malveillant qui prend en otage des données en les chiffrant. Une rançon est demandée par les malfaiteurs en échange de la clé de déchiffrement. Avec celle-ci, la victime est censée pouvoir récupérer ses données.
Dans le cas où l’entreprise victime de la cyberattaque décide de payer la rançon indiquée, celle-ci s’attend à être indemnisée par son assureur. Mais tout dépend de l’assurance contractée. Certaines assurances ne paieront rien dans ce cas précis, comme le fait « La Mobilière ».
D’autres assurances fixent une limite. Le préjudice financier supérieur à cette limite n’est pas remboursé. D’autres encore remboursent un pourcentage sur la somme assurée.
Pourquoi ne remboursent-elles pas la totalité du dommage ? Sûrement car payer la rançon demandée n’est de loin pas la solution. En effet, dans un grand nombre de cas, les données ne sont pas entièrement récupérées par la victime. Il est aussi possible que les informations soient déchiffrées mais endommagées. De ce fait, elles ne sont plus utilisables pour la société. De plus, obéir aux ordres des malfaiteurs encouragent ces derniers à continuer leurs activités criminelles. Par la suite, ils peuvent notamment développer de nouvelles formes de cyberattaques avec les fonds obtenus.
Conclusion
Avant de s’assurer, il faut déjà avoir conscience qu’on peut être potentiellement victime d’une cyberattaque. Beaucoup d’entreprises sous-estiment les cyberrisques et ne prennent donc pas de mesures à ce sujet.
Ensuite, il n’est pas évident pour une entreprise de bénéficier d’une couverture contre les cyberattaques. Tout d’abord, à cause du prix élevé des primes d’assurance et des conditions à remplir exigées par les assureurs. Le fait pour une entreprise de se doter d’un système de sécurité performant et qui répond aux critères de l’assurance, est déjà un réel coût qui n’est pas forcément accessible pour toute société. L’accès à une telle couverture d’assurance n’est donc pas facilement envisageable pour les petites entreprises.
En sus, comme nous avons pu le voir avec l’exemple du ransomware, l’entreprise victime n’est pas forcément toujours indemnisée par l’assurance si la rançon demandée est payée. De plus, le ransomware est un type d’attaque utilisé de manière fréquente par les malfaiteurs. Ce phénomène aura pour effet d’augmenter les primes d’assurances ou, dans certains cas, les assurances retireront ce type d’attaque des prestations de services offerts.
N.B. Bien que les personnes morales sont principalement évoquées dans cet article, les cyberattaques touchent également les personnes physiques et ces dernières peuvent aussi bénéficier de cyberassurances.
Autres sources
Altospam. Ransomware ou rançongiciel, vos données prises en otage [en ligne]. [Consulté le 17.12.2021]. Disponible à l’adresse : https://www.altospam.com/glossaire/ransomware.php .
ICT journal. Comment les assureurs suisses couvrent-ils les victimes de ransomware ? [en ligne]. [Consulté le 17.12.2021]. Disponible à l’adresse : https://www.ictjournal.ch/articles/2021-06-01/comment-les-assureurs-suisses-couvrent-ils-les-victimes-de-ransomware
Axa. Assurance Cyber pour les entreprise [en ligne ]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.axa.ch/fr/clients-entreprises/offres/responsabilite-civile-choses/cyberassurance.html
La Mobilière. Cyberassurance [en ligne ]. [Consulté le 13.12.2021]. Disponible à l’adresse : https://www.mobiliere.ch/assurances-et-prevoyance/habitat-et-propriete/assurance-cyberprotection
RTS. L’ombre des ransomwares plane sur l’économie suisse. [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse suivante : https://www.rts.ch/info/economie/10641218-lombre-des-ransomwares-plane-sur-leconomie-suisse.html
Usine digitale. Cyberassurances : Face aux ransomwares, les prix augmentent et les professionnels s’inquiètent. [en ligne]. [Consulté le 13.12.2021]. Disponible à l’adresse suivante : https://www.usine-digitale.fr/article/cyberassurances-face-aux-ransomwares-les-prix-augmentent-et-les-professionnels-s-inquietent.N1134529
2si. Télétravail : sécurité informatique en péril. [en ligne]. [Consulté le 03.01.2022]. Disponible à l’adresse suivante : https://2si.fr/bonnes-pratiques/teletravail-securite-informatique-en-peril/
Zdnet. Cyberassurance :Tout ce que vous devez savoir sur son fonctionnement. [en ligne]. [Consulté le 03.01.2022]. Disponible à l’adresse suivante : https://www.zdnet.fr/pratique/cyberassurance-tout-ce-que-vous-devez-savoir-sur-son-fonctionnement-39919171.htm