Cyber-assurances privées ou pour PME, les offres publicitaires des assurances promettant de nous prémunir des dangers du net pullulent sur le marché à l’heure où les attaques cybercriminelles augmentent de manière exponentielles1https://www.ncsc.admin.ch/ncsc/fr/home.html (consulté le 28.10.2023).. Sont-elles à même de nous prévenir d’un éventuel piratage informatique ou est-ce une arnaque du consommateur visant particuliers et entreprises ?
I. Risque assuré
A. Pour les particuliers
En Suisse, la plupart des cyber-assurances proposées au client privé couvrent les quatre cas de sinistres suivants : la perte de données, par exemple en cas de piratage ou d’infection par un malware, le dommage pécuniaire lié entre autre à un abus de carte de crédit ou à l’usurpation d’identité, une protection lors d’achats en ligne et les atteintes à la personnalité, comme le harcèlement en ligne ou la diffamation sur les réseaux sociaux2https://www.moneyland.ch/fr/cyber-assurances-particuliers (consulté le 27.08.2023).. Ces couvertures sont souvent une extension, conçues comme des garanties complémentaires au catalogue des assurance-ménage, de l’assurance responsabilité civile ou encore de la protection juridique. Elles sont considérées comme un produit d’assurance combiné et spécifique. Les primes d’assurances ne sont pas très élevées et se chiffrent en dizaines voire centaines de francs par année.
B. Pour les entreprises
Les entreprises sont exposées à des risques d’une plus grande ampleur (tant par la fréquence que par les montants en jeu) qui peuvent dans le pire des cas mettre en péril leur existence même, leurs revenus comme leur fortune. La portée des couvertures va de la gestion des cas de crise, à l’indemnisation en cas de perte, l’endommagement voire le vol de données avec cyberchantage à la clé 3https://www.mobiliere.ch/assurances-et-prevoyance/offres-pour-les-entreprises/cyberassurance-pour-entreprises?gad=1&gclid=EAIaIQobChMI2JXoipz6gAMVS_13Ch3HFgGmEAAYASAAEgIScvD_BwE (consulté le 26.08.2023)., en passant par la couverture en responsabilité civile si des tiers sont également touchés. Il suffit d’ouvrir une pièce jointe malveillante pour qu’un malware s’attaque aux données de l’entreprise, que des pirates les publient sur le darknet – Xplain en ayant récemment fait la triste expérience –4https://www.letemps.ch/suisse/comment-fedpol-a-imprudemment-confie-des-donnees-sensibles-a-son-prestataire-xplain-cyberattaque, article du 15.08.2023., les détruisent ou les cryptent avant de demander une rançon substantielle pour obtenir la clé de déchiffrage. C’est cette dernière mésaventure qu’a connue une maison d’édition suisse en 20215https://pages.rts.ch/emissions/abe/12765965-dangers-du-net-que-valent-les-assurances-contre-les-cyber-risques.html>(consulté le 26.08.2023)..
II. Action et réaction
A. Action
Très récemment le Centre national pour la cybersécurité (NCSC) a lancé une campagne de sensibilisation sur la sauvegarde régulière de ses données6https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2023/kampagne-super-23-2.html (consulté le 01.09.2023).. Diverses recommandations de standards minimaux à remplir pour prévenir les risques d’attaques de cybercriminels s’adressent aux exploitants, telles que celles que l’on trouve sur le National Institute of Standards and Technology, Cybersecurity Framework (NIST7NIST, Cybersecurity Framework, Framework. Documents : https://www.nist.gov/cyberframework/framework (consulté le 27.08.2023).) ou celles (qui s’inspirent des premières) édictées par l’Office fédéral pour l’approvisionnement économique du pays (OFAE) pour préserver les technologies de l’information et de la communication, sans lesquelles notre économie ne pourrait plus fonctionner8Cf. Norme minimale pour les TIC 2023, pdf du 16.06.2023 sur https://www.bwl.admin.ch/bwl/fr/home/themen/ikt/ikt_minimalstandard.html (consulté le 27.08.2023).. Même s’il n’y a pas d’obligation légale de s’y conformer, en cas de négligence de l’entreprise dans son organisation ou dans la prise de mesures visant à se protéger, ces recommandations peuvent le cas échéant fonder une responsabilité de l’entreprise9Brupbacher/Götz Staehelin, Herausforderungen durch Cybersecurity in der modernen Unternehmensrealität, in SJZ n. 10 du 01.06.2022, p. 513..
En effet, il appartient au conseil d’administration de la SA d’exercer la haute direction de la société et d’établir les instructions nécessaires, de fixer l’organisation, de même qu’exercer la haute surveillance sur les personnes chargées de la gestion pour s’assurer notamment qu’elles respectent les instructions données, étant précisé que ces attributions sont intransmissibles et inaliénables (art. 716a al. 1 ch. 1, 2 et 5 CO10Loi fédérale du 30 mars 1911 complétant le code civil Suisse, RS 220.). Cela vaut aussi en matière de cyber-sécurité. Parmi les décisions essentielles à prendre dans ce domaine, il y a celles qui consistent à déterminer la stratégie en matière de sécurité informatique, en identifiant les risques cyber propres à l’environnement de l’entreprise, en édictant des règles (Governance) visant à protéger les infrastructures numériques, puis en mettant en place un processus de détection des anomalies et incidents. En d’autres termes, le conseil d’administration d’une société doit être doté de connaissances de bases en matière de cyber-sécurité, sans quoi il doit s’adjoindre les services de spécialistes internes ou externes pour le conseiller11SJZ, op. cit., p. 515 ad. D.. Dans cette stratégie, l’assureur intervient dans le cadre d’un transfert des risques. Son produit va permettre de couvrir une partie des dangers auxquels son assuré est exposé. Ainsi, ce dernier peut budgéter le coût de ses couvertures et définir ce qu’il souhaite assumer par ses propres moyens.
Il est évident que les assureurs sont régis par les règles de rentabilité. L’assurance cherchera donc à s’octroyer une marge, en tenant compte du coût des sinistres d’une part, et de ses frais d’exploitation d’autre part. Pour dégager des profits ou garder des primes attractives, elle va aussi réduire autant que possible son exposition à des dangers. Elle va ainsi exclure certains risques, limiter les sommes d’assurances, fixer des franchises élevées et/ou déterminer un seuil de sécurité pour que le contrat d’assurance soit conclu12https://www.rts.ch/info/suisse/13639190-des-polices-dassurances-contre-les-cyberattaques-dentreprises.html (consulté le 28.08.2023).. Elle agit ainsi en amont, en faisant passer toute une batterie de tests au client potentiel, pour vérifier qu’il est « éligible » au produit. Les compagnies d’assurances sont en effet bien placées pour savoir quelles sont les prescriptions de sécurité auxquelles on ne coupe pas puisqu’elles sont de par la loi, elles aussi, soumises à des règles en matière de cybersécurité (art. 22 LSA13Loi fédérale du 17 décembre 2004 sur la surveillance des entreprises d’assurance, LSA, RS 961.01.). La prime de l’assuré peut s’élever à des montants à six chiffres.
B. Réaction
L’assurance cyber pour le particulier se limite à intervenir une fois que le dommage a été causé. Selon le produit, elle va par exemple s’atteler à prendre en charge les frais de suppression d’un malware, voire ceux liés à la restauration du système d’exploitation. Elle propose aussi d’indemniser les travaux de récupération de données si l’appareil est hors d’usage suite à un événement ou encore de supporter les frais liés à la suppression de publications diffamatoires portant atteinte à la personnalité.
Pour les entreprises, si un cas de sinistre se produit malgré toutes les précautions prises et vérifiées en amont, alors l’assurance s’occupe de la gestion de crise, des communications nécessaires via le formulaire d’annonce14https://databreach.edoeb.admin.ch/report (consulté le 29.08.2023). en cas de violation de la sécurité des données personnelles au Préposé fédéral à la protection des données et de la transparence (art. 24 LPD15Loi fédérale du 25 septembre 2020 sur la protection des données (entrée en vigueur au 01.09.2023), LPD, RS 235.1.), de récupérer les données, voire même de payer la rançon pour certaines assurances, ce qui peut leur coûter très cher, bien davantage que la prime encaissée. Or pour qu’une assurance soit rentable, son ratio brut entre les indemnités versées et les primes encaissées doit être en dessous de 60%16https://www.lapresse.ca/affaires/entreprises/2022-11-19/attaques-informatiques/les-primes-d-assurance-explosent.php (consulté le 29.10.2023). auquel on ajoute les frais administratifs. Suivant les secteurs économiques, le nombre d’acteurs sur le marché intéressés à proposer un produit d’assurance est réduit17https://www.swissriskcare.ch/sites/default/files/src_insurance_inside_n25.pdf (consulté le 29.10.2023).. Ainsi, dans les secteurs très exposés, comme celui de la santé (hôpitaux, réseaux de soins, établissements médico-sociaux, cabinets médicaux), ou des services publics (administration, écoles, sécurité), la presse a fait l’écho ces dernières années d’attaques ciblées 18https://www.rts.ch/play/tv/forum/video/luniversite-de-neuchatel-a-ete-victime-dune-cyberattaque-video?urn=urn:rts:video:12878246 ; https://www.rts.ch/play/tv/19h30/video/une-cyberattaque-contre-trois-cabinets-medicaux-neuchatelois-pourrait-concerner-dautres-medecins-en-suisse-romande?urn=urn:rts:video:12984904 (consultés le 29.08.2023).. On ignore les véritables conséquences de ces attaques sur les systèmes, les données et les coûts qu’elles ont engendrés. Les informations chiffrées sur le sujet se font rares. Le directeur de DBS Group reconnaissait toutefois en juin 2022 que la cyberattaque dont son entreprise (environ 700 collaborateurs) avait fait l’objet avait coûté des centaines de milliers de francs en termes de restauration du système informatique. Sans articuler de montant précis, il indiquait que l’assurance avait certes pris en charge « une partie des frais », en relevant que la prime d’assurance était élevée, mais la franchise « raisonnable »19https://www.letemps.ch/economie/cyber/cyberattaque-coute-centaines-milliers-francs (consulté le 29.10.2023).. La cybercriminalité pèse sur les finances et les ressources des institutions touchées, mais aussi sur les assureurs. Même si ces établissements ont un système de sécurité éprouvé, le dommage en cas de sinistre est « pharaonique », si bien que les assureurs sont très prudents et prévoient des clauses d’exclusion de certains dommages, voire rechignent à proposer une couverture20https://www.letemps.ch/economie/cyber/ironie-zurich-insurance-dit-cyberattaques-deviennent-impossibles-assurer-puis-se (consulté le 30.08.2023) ; https://www.swissriskcare.ch/sites/default/files/src_insurance_inside_n25.pdf (consulté le 29.10.2023)..
III. Bilan
La presse quotidienne se fait l’écho d’attaques cyber toujours plus fréquentes et d’une ampleur en pleine croissance, s’en prenant même aux autorités de sécurité21https://www.rts.ch/info/regions/berne/14249236-des-pirates-informatiques-semparent-des-donnees-de-2800-policiers-bernois.html (consulté la dernière fois le 01.09.2023).. Une visite sur le site web du Centre national pour la cybersécurité confirme au moyen de statistiques que les annonces d’incident ont en effet augmenté de 40% depuis le début de cette année. Cela démontre que l’exigence de sécurité doit être améliorée, autant chez les particuliers qu’au sein des entreprises ou de l’administration. Les mesures prises chez les uns et chez les autres sont encore très disparates. J’ai pu constater que dans le secteur privé il n’est pas rare de voir que les collaborateurs sont équipés d’ordinateurs portables dans lesquels il n’est plus possible d’insérer des clés USB alors que dans l’administration publique, l’utilisateur peut connecter plusieurs supports externes à son ordinateur, avec les risques que l’on connaît. Les assurances cyber l’ont bien compris et donnent l’impulsion depuis belle lurette pour diminuer la cyberexposition au risque et la cybervulnérabilité de leurs clients, mais elles pourraient encore serrer la vis. Là où la sinistralité reste encore digeste pour l’assureur, ainsi les assurances cyber pour les particuliers, l’assurance se limite à dédommager les pots cassés, comme dans le cas des assurances véhicules. L’assurance intervient une fois que le dommage est causé, mais pas en amont pour éviter qu’il survienne. Il n’y a donc aucune surprise, aucune arnaque au consommateur, puisqu’il est habitué à ce mode de fonctionnement qui lui est annoncé d’emblée à la conclusion du contrat.
Dans le monde des PME, des établissements de soins, des fournisseurs d’énergie etc. ne s’assure pas qui veut contre la cybercriminalité. Encore faut-il être éligible au produit et démontrer à l’assureur qu’un minimum (élevé) de mesures de protection a été pris en amont. Les assurances agissent en amont et en aval. On peut ainsi tirer un parallèle avec les assurances-vie dont la souscription est soumise à la condition d’être en pleine santé et d’avoir une hygiène de vie irréprochable. Les assurances cyber se désintéressent en effet de clients potentiellement trop exposés et préfèrent se tourner vers ceux où le rapport primes/prestations demeure intéressant22https://www.vaudoise.ch/docs/default-source/a-notre-propos/rapports-annuels/vaudoise_ra-2022_fr_bd.pdf?sfvrsn=58adb410_10 (consulté le 30.10.2023).. Le client n’est en aucun cas trompé sur le produit. Au contraire, il est immédiatement rendu attentif à toutes les conditions strictes auxquelles il devra satisfaire pour obtenir une couverture.
Personnellement, je ne vois aucun intérêt à conclure une assurance cyber à titre privé. Je considère être suffisamment couverte par l’assurance-ménage et responsabilité civile. En revanche si j’étais dirigeante d’une PME, le département informatique ferait clairement l’objet d’une attention particulière dans l’identification et l’évaluation des risques (probabilité de survenance et conséquences) : la protection passe certainement par une protection à divers niveaux : tout d’abord dans les tests de résistance du système, puis dans une mise à jour régulière des systèmes de sécurité, la formation régulière des collaborateurs, éventuellement de l’auto-assurance en engageant mon propre informaticien et enfin, une solution d’assurance pour transférer une part du risque à l’extérieur pour être soutenue le moment venu dans la gestion de crise et la récupération de mes données dans le meilleur des cas. Je suis cependant consciente que ce modèle est théorique et dépend des ressources de l’entreprise.
