Bienvenue dans les Avisés, le podcast MMA Entreprise qui décode le monde de l’assurance. Ensemble nous rencontrons des experts MMA Entreprise qui décryptent, analysent et vous éclairent sur les risques d’entreprise. Aujourd’hui, c’est Dominique Jeune, responsable souscription risques techniques qui nous parle de cyber-sécurité. C’est parti !
Pour commencer, qu’est-ce qu’un cyber-risque ?
Un cyber-risque, c’est un risque qui porte atteinte à un système informatique et aux données qu’il contient, non accompagné de dommages matériels, c’est-à-dire qu’on va avoir un blocage du système informatique ou des pertes de données informatiques qui vont entrainer des pertes pécuniaires pour l’entreprise.
Quels sont les principaux cyber-risques auxquels les entreprises peuvent être confrontées ?
Alors, il y a 3 grandes familles de cyber-risques. La plus connue et la plus courante, c’est la cybercriminalité. Ce sont donc des atteintes au système informatique qui sont perpétrées par des « hackers », des pirates informatiques dans le but de nuire aux entreprises ou de récupérer un gain suite à ces attaques.
Quel est le deuxième type de cyber-risque ?
C’est l’erreur humaine. C’est-à-dire que c’est l’assuré lui-même ou l’utilisateur lui-même qui va provoquer son propre dommage en effaçant un fichier, en utilisant mal son système d’information, et ça va provoquer pour lui des pertes pécuniaires.
Et enfin, la troisième famille, ce sont les dysfonctionnements du système d’information. Par exemple un système d’information qui va s’arrêter tout seul.
Certaines entreprises sont-elles plus menacées que d’autres ?
Oui, tout va dépendre déjà de l’activité de l’entreprise : certaines activités sont plus ciblées par les hackers que d’autres. On peut penser bien entendu aux entreprises du domaine financier. Les entreprises du domaine médical sont également très ciblées du fait de la nature des données qu’elles traitent. Et on peut également citer comme une cible importante les collectivités territoriales.
Est-ce que la taille de l’entreprise a une importance quant aux cyber-risques. Est-ce que certaines sont plus touchées que d’autres ?
Alors, effectivement, certaines sont plus touchées que d’autres mais parce que, il y a un niveau de prévention qui est plus faible. Mais toute taille d’entreprise peut être touchée parce que certains sinistres sont des sinistres qui arrivent en aveugle, c’est-à-dire que des hackers arrosent, inondent les systèmes informatiques quelle que soit l’entreprise et donc sans regarder la taille de l’entreprise.
Quelles sont les méthodes préventives pour se protéger au mieux de ces différentes attaques ?
Alors, il y a un socle minimal de prévention que les entreprises doivent mettre en place. Cela concerne déjà le mot de passe pour accéder au système d’information qui doit être robuste. Il faut également que l’entreprise mette en place des anti-virus sur leur système d’information avec mise à jour automatique de cet anti-virus. Tous les points de connexion du système informatique au réseau externe doivent se faire via des pare-feu, des « firewall ». Il faut également mettre en place une politique de sauvegarde des données qui soit régulière et déconnectée du système d’information, et enfin il faut procéder à la mise à jour des logiciels d’exploitation et des logiciels d’application régulièrement, en tout cas dès que l’éditeur de ces logiciels le propose pour subvenir donc aux défaillances propres que peuvent avoir ces logiciels.
En général, les entreprises sont–elles assurées contre les risques liés aux défaillances de cyber-sécurité ?
On s’aperçoit que les grandes entreprises sont pratiquement toutes assurées. Par contre, plus la taille de l’entreprise décroit et moins l’entreprise est assurée : les PME ont un très faible taux d’assurance.
Quels sont les éléments couverts par un contrat d’assurance cyber-risques ?
On parle toujours de pertes pécuniaires, c’est-à-dire que ce sont toujours des frais, il n’y a pas de réparation puisqu’il n’y a pas de dommages matériels comme on l’a déjà dit. Alors la nature des frais est très très étendue, très très variée. Ça va déjà de la gestion de crise de l’événement, c’est-à-dire des frais d’expertise pour savoir ce qu’il s’est passé à la mise en place d’une plateforme téléphonique pour répondre aux clients.
Il va y avoir ensuite des frais supplémentaires pour que l’entreprise puisse continuer à produire pendant la période ou son système d’information va être affecté. Un des gros postes va être également les pertes des données, c’est-à-dire la reconstitution des données informatiques qui auraient été détruites ou perdues. Il va y avoir également les pertes d’exploitation si l’entreprise ne produit plus, en particulier les entreprises qui font de la vente en ligne sont à l’arrêt donc le contrat va couvrir ces pertes d’exploitation.
Il y a également les frais de notification, le RGPD impose aux entreprises qui détiennent des données personnelles de notifier aux propriétaires de ces données que leurs données ont pu être atteintes, et ça ce sont des coûts non négligeables. On peut avoir également ce qu’on appelle des frais de monitoring pour surveiller des comptes bancaires lorsqu’une tentative de fraude a eu lieu ou qu’on suspecte une tentative de fraude sur des comptes bancaires.
Pouvez-vous nous donner des exemples concrets de sinistres ?
L’exemple que l’on rencontre le plus souvent dans 80 à 85% des cas de sinistres qui nous sont déclarés, c’est la cyber-extorsion, c’est-à-dire l’introduction d’un logiciel malveillant par un hacker, un logiciel qui s’appelle ransomware ou rancongiciel qui va crypter les données du système d’information du client. Donc le client se retrouve devant un système informatique qui n’est plus exploitable parce que toutes les données sont cryptées, il n’a plus accès à ses données. Et dans ce cas-là, l’expert que l’on va nommer va faire intervenir différents acteurs pour déjà déterminer l’origine du sinistre, et voir comment il est possible d’y remédier. La remédiation normale de ce type de sinistre, c’est de récupérer une sauvegarde existante des données et de les réintroduire dans le système d’information, de supprimer bien entendu le logiciel qui était à l’origine du sinistre et de réintroduire donc les données correctes qui avaient été sauvegardées.
La solution extrême, c’est de payer la rançon au hacker, bien entendu ce n’est pas la voie que l’on préconise parce que cela entretien le système mais lorsque un assuré n’a pas de sauvegarde viable c’est parfois la solution ultime qui permet de repartir et donc dans ce cas, notre contrat d’assurance rembourse à l’assuré la rançon qu’il aura payée au hacker.
Pour terminer, quel est votre conseil avisé d’expert s’agissant de cyber-criminalité ?
En dehors de la prévention que j’ai citée tout à l’heure, des mesures essentielles de prévention, il n’y a pas de prévention miracle, c’est-à-dire que toute entreprise est quand même soumise potentiellement à des cyber-sinistres même avec un très bon niveau de prévention. Donc on peut conseiller aux entreprises de souscrire un contrat d’assurance contre les cyber-risques en veillant à ce que les 3 types de cyber-risques que j’ai cités tout à l’heure soient bien garantis : la cybercriminalité, ce qui est le cas de tous les contrats du marché, mais également l’erreur humaine et les dysfonctionnements ce qui est rarement le cas sur les contrats du marché mais qui le sont aux MMA.
Merci beaucoup Dominique pour votre éclairage. A très bientôt dans les Avisés, le podcast MMA Entreprise qui décode le monde de l’assurance !