À l’occasion de l’événement consacré au risk management SAFE, Daphné Naudy, experte en sinistres chez Charles Taylor Adjusting, Sophie Farhane, expert souscripteur cyber and financial lines chez AXA, et Arnaud Bergauzy, directeur des assurances du groupe Vivescia, reviennent sur les bons gestes à avoir lorsque l’entreprise est confrontée à une cyberattaque.

Décideurs Juridiques. L’Anssi a récemment rappelé qu’il existait une hausse des attaques cyber de 30 %, touchant particulièrement les TPE, PME et ETI. Faisons un point sur le volet des risques assurantiels attachés aux attaques cyber.

Daphné Naudy. Les attaques cyber génèrent deux types de frais. Il y a des frais de remédiation liés aux aspects techniques et technologiques. Ces frais techniques atteignent rarement le montant de la seconde catégorie : celle des coûts financiers entraînés par la perte d’exploitation. Il faut préparer les risk managers et les entreprises à faire face à ces coûts qui peuvent être exponentiels. En particulier les PME, souvent désarmées face à l’ampleur des conséquences financières d’une cyberattaque.

Sophie Farhane. Si les assurances prennent en considération l’aspect gestion de crise – c’est finalement ce qui coûte le moins cher et qui est géré le plus rapidement avec un accord de l’assureur –, les pertes d’exploitation pèsent longtemps sur les finances de l’entreprise, d’où la nécessité de les anticiper.

Daphné Naudy. Pour la gestion de crise, les assureurs intègrent en général dans leurs polices une liste d’entreprises que les assurés et les risk managers peuvent appeler dès lors qu’une attaque survient.

Arnaud Bergauzy. Si les risk managers connaissent la police d’assurance, négociée par leurs soins, ils ne sont pas en mesure d’intervenir seuls lorsque la crise se manifeste. C’est pourquoi ils agissent de concert avec le responsable de la sécurité des systèmes d’information (RSSI) et le délégué à la protection des données (DPO). Par ailleurs, la sensibilisation et l’éducation aux attaques cyber sont indispensables pour tout le monde, des membres du comex à l’ouvrier.

En cas d’attaque cyber, le premier réflexe, c’est toujours de débrancher la prise ?

Daphné Naudy. C’est une nécessité. Les employés d’une entreprise attaqués doivent éteindre tous les appareils et ne plus les utiliser. Avoir une sauvegarde des données est primordial, notamment pour assurer la continuité de l’activité malgré la cyberattaque.

Arnaud Bergauzy. Les assureurs préconisent généralement une duplication du data center. Conseil pas toujours suivi à cause du coût qui se chiffre en millions d’euros. Il est souvent difficile de convaincre le comex d’investir de telles sommes dans une opération qui ne servira peut-être jamais.

Sophie Farhane. Chez les assureurs, la philosophie de souscription du risque a énormément changé face aux pertes d’exploitation exponentielles liées aux sinistres. La première chose qu’ils cherchent à déterminer, c’est le niveau de préparation des entreprises au cas de perte de données et pour réduire au maximum le risque de perte d’exploitation.

Arnaud Bergauzy. On mise davantage sur la protection, l’anticipation, là ou auparavant, l’attention était portée sur la prévention.

Daphné Naudy. La préparation est fondamentale : elle peut permettre de réduire les pertes d’exploitation à zéro. En tant qu’experts, on observe une meilleure préparation du côté des entreprises industrielles, qui sont plus susceptibles traditionnellement d’essuyer une perte d’exploitation sans lien avec une attaque cyber. À l’inverse, les sociétés de services n’ont pas vraiment de stocks.

Et quid de la perte de chance ?

Daphné Naudy. Les garanties de perte d’exploitation se basent essentiellement sur une perte de revenus pour une période donnée. Une période relativement courte en cas de cyberattaque. Et pour certaines activités, les répercussions de l’attaque cyber ne seront pas visibles sur le chiffre d’affaires réalisé pendant la période garantie. La perte de chance est une option pour compenser cette difficulté.

Comment s’affranchir des biais cognitifs inhérents à une crise ? Comment aider les petites entreprises à bien réagir ?  

Arnaud Bergauzy. Les exercices de crise permettent de se rendre compte des biais cognitifs de chacun. Nous avions fait un exercice (une simulation ?) de vol de données à la RATP : le comex refuse de payer la rançon, le RSSI refuse donc de négocier avec le hacker. Refuser de négocier : voilà un premier biais cognitif. Cela permet de gagner du temps et de mieux connaître son ennemi. Le mot d’ordre est la préparation : connaître les experts, communiquer avec eux et les faire intervenir lors d’exercices.

Daphné Naudy. S’agissant des petites et moyennes entreprises (PME), elles ne disposent pas toujours des fonctions supports et découvrent bien souvent le monde assurantiel en même temps que la gestion d’une crise cyber. C’est la double peine : elles doivent gérer une urgence financière et technique et appréhender le temps assurantiel, qui est beaucoup plus long que celui de l’entreprise qui a besoin de se remettre à fonctionner rapidement.

Arnaud Bergauzy. Le rôle du courtier et de l’assureur est particulièrement important dans ces situations pour des petites et moyennes entreprises. Ce sont eux qui prennent le relais et qui expliquent au chef d’entreprise les trois volets de la police cyber.

Sophie Farhane. Avec la crise sanitaire et les pertes d’exploitation qu’elle a généré, les PME ont pris conscience de l’importance de la souscription à des polices d’assurance.

Qu’est-ce qu’une police à tiroir ?

Sophie Farhane. C’est la définition même de la police cyber qui comporte les trois volets : dommages, responsabilité civile et gestion de crise. Quand on parle urgence et communication, on active uniquement le volet gestion de crise. Le but étant d’éviter au maximum d’activer les deux autres volets.

Arnaud Bergauzy. Le modèle des polices cyber inventées par les assureurs dans les années quatre-vingt-dix aux États-Unis – pour faire du profit – ne fonctionne plus avec l’explosion des sinistres cyber survenue à partir de 2017. Les entreprises ont alors eu recours aux “silent cover” qui consiste à faire couvrir les dommages cyber par la police dommage aux biens.

Daphné Naudy. Les difficultés de souscription ont conduit à se demander si le cyber était assurable et jusqu’à récemment, c’était un vrai sujet pour les assureurs, les courtiers et les risk managers.

Y a-t-il d’autres situations dans lesquelles l’entreprise a raison de regarder de près ses polices d’assurance ?

Daphné Naudy. Les polices ne sont pas toujours très lisibles quant à l’étendue des garanties. Des entreprises conscientes du risque cyber s’aperçoivent parfois après la réalisation d’un sinistre, qu’une perte financière n’était pas garantie. Les entreprises souscrivent une police cyber parce qu’elles ont conscience du risque, mais lorsqu’un sinistre survient, elles s’aperçoivent qu’il y a une différence entre ce qu’elle pense être couvert et ce qui l’est réellement. Il peut y avoir une perte financière qui ne soit pas garantie.

Sophie Farhane. La pédagogie est essentielle dans le monde du cyber. C’est là toute l’utilité du courtier et de l’assureur.

La fraude et le cyber attaque sont très liés. Quelles précautions doit-on prendre ?

Arnaud Bergauzy. La fraude au président – qui consiste pour le hacker à usurper l’identité du dirigeant de la société afin de réaliser une escroquerie – connaît une forte recrudescence 2.0 via le deep fake. Une société hongkongaise s’est fait extorquer 25 millions de dollars de cette façon. L’IA remet au goût du jour des fraudes liées au cyber. Les garanties cyber et fraude sont distinctes et fonction de la nature de la tromperie.

Sophie Farhane. L’IA a énormément facilité la vie des hackers à générer des cyber attaques. La fréquence des sinistres est exponentielle et cela devrait continuer avec le développement de nouvelles technologies.

Quels conseils donneriez-vous pour gérer au mieux une cyber attaque ?  

Arnaud Bergauzy. Trois mots d’ordre : préparation, communication et sensibilisation des équipes. Cela passe aussi par une cartographie des risques spécifiques cyber qui permet de mettre en place des actions de traitement des risques et des mécanismes de gestion de crise.

Daphné Naudy. Sur le plan financier, la préparation d’un plan de continuité est primordiale. Les entreprises doivent pouvoir anticiper les conséquences financières d’un arrêt de l’activité suite à une attaque cyber. Sur le marché français, l’attaque cyber est relativement taboue, l’expérience est peu partagée et cela est préjudiciable particulièrement pour les ETI et les PME. 

Les entreprises sollicitent-elles suffisamment régulièrement les courtiers/assureurs/autres panelistes à leur disposition ?

Arnaud Bergauzy. Les RSSI disposent de la connaissance nécessaire et sont parfois réticents à l’idée de faire intervenir d’autres professionnels, notamment ceux sélectionnés par l’assureur (et dont les frais sont couverts par la police).

Sophie Farhane. Les assureurs peuvent encourager les entreprises à investir davantage dans la réduction des risques et aussi les accompagner dans ce domaine avant un sinistre. Lorsque la qualité du risque est jugée insuffisante cela peut conduire le RSSI à revendiquer ces commentaires pour obtenir des ressources supplémentaires auprès du Comex en vue de renforcer la sécurité informatique.

Un mot sur les captives pour terminer ?

Arnaud Bergauzy. La captive permet d’engranger de la prime afin d’avoir une trésorerie plus importante le jour où le sinistre survient. Une partie de la prime peut également être utilisée pour des actions de prévention. Les données recueillies par les assureurs permettent désormais la mise en place d’assurances paramétriques pour le risque cyber, qui étaient jusque-là réservées aux catastrophes naturelles.

Daphné Naudy. Les captives et les paramétriques sont en revanche réservées aux grandes entreprises, cela coûte cher. De plus, les captives s’inscrivent dans un processus long. La France a commencé à s’ouvrir au marché, mais il faudra encore quelques années avant d’arriver au niveau des centres européens des captives comme le Luxembourg par exemple. 

Sophie Farhane. Les captives ont le vent en poupe, particulièrement grâce à l’ouverture réglementaire ayant contribué à leur récente démocratisation en France. C’est un outil d’alternative risque transfert (ART) qui existe depuis des années et très présent en responsabilité civile. Les réflexions autour de l’assurance cyber et des captives se sont développées avec la volatilité du marché. Pour assurer une certaine stabilité dans le programme d’assurance cyber, les assurés ont manifesté leur volonté de faire entrer le cyber dans leurs captives et certaines entreprises du CAC 40 ont également intégré des outils de prévention cyber dans leurs captives. C’est un outil d’avenir, mais il n’en demeure pas moins que sa construction s’inscrit sur le long terme.

Arnaud Bergauzy. Il ne faut pas voir la captive en cyber comme un outil conjoncturel, mais davantage structurel. En 2020, le marché cyber était tellement explosif que chez les risk manager, la question s’est posée de savoir s’il fallait encore s’assurer en cyber. La captive ne doit pas être créée uniquement pour assurer un risque cyber, mais aussi pour des risques liés à des événements naturels, des incendies afin de pallier à l’inassurabilité de l’entreprise et donc sa survie à moyen terme.