Atteintes aux données, e-réputation, cyber-extorsions : les menaces liées à l’Internet se multiplient. Des produits spécifiques d’assurance voient le jour.
« Qui gère vos données lorsque vous ne le faites pas ? » : en lançant, à l’automne dernier, un contrat d’assurance liées aux risques informationnels encourus par les entreprises, Hiscox a frappé un grand coup en insistant sur les atteintes directes aux données et aux systèmes informatiques, de manière immatérielle et non plus seulement sur un plan physique.
Le contrat, commercialisé depuis 2006 aux Etats-Unis, concerne six types de risques liés à la cybercriminalité pour des entreprises ayant à traiter des données à caractère personnel. La cyber-responsabilité, relative aux contenus publiés en ligne par les sociétés clientes, le cyber-piratage, les cyber-extorsions (induisant une demande de rançon), les cyber-pertes de revenus (pour les activités de e-commerce), les failles de sécurité informatique et les atteintes à la vie privée, aux données personnelles et à la confidentialité sont prises en charge de manière modulable.
Luc Vignancour, directeur adjoint du département Finpro chez Marsh, un assureur concurrent, rappelle, dans Les Echos, les limites d’un tel produit : « les réclamations des tiers ou les frais engagés par l’entreprise pour réparer, peuvent faire l’objet d’une assurance mais pas les amendes, ni la dégradation éventuelle du titre de l’entreprise en Bourse ». L’image d’une entreprise peut en effet être atteinte suite à des événements affectant l’infrastructure informatique, tant du point de vue des investisseurs que des clients, qui confient de précieux renseignements à de nombreuses firmes.
Selon une étude menée l’an dernier par PricewaterhouseCoopers, 23% des entreprises (dans 78 pays) auraient été victimes de cybercriminalité en 2011, ce risque étant celui qui progresse le plus parmi les différents types de fraude recensés par le cabinet. Il se place derrière le détournement d’actifs, la fraude comptable et la corruption. Ironie du sort, si les assureurs s’emparent de cette thématique, ils en sont les premières victimes avec le secteur des télécommunications.
Des mesures préventives
La thématique, particulièrement présente au cœur des rencontres de l’Amrae, l’association française des risk managers, qui se sont tenues la semaine dernière, est abordée sous différents angles par les gestionnaires de risques au sein des entreprises et les assureurs, qui malgré quelques « coups », en comparaison avec l’univers anglo-saxon, demeurent bien timides en la matière. L’assurance dommages aux biens constitue un moyen privilégié de relier ces risques à des produits existants, sans pour autant envisager une protection spécifique.
Afin de limiter les risques, de nombreuses compagnies d’assurance encouragent leurs clients à recourir à des solutions de monitoring de leurs équipements, afin d’avoir une vision globale, en temps réel, de l’état de leur système d’information. « La plupart des sociétés ne procèdent à aucune analyse de risques, n’imaginent pas de scénarios mettant en évidence leur niveau de dépendance informatique », déplore dans Le Nouvel économiste Pascal Lointier, président du Club de la sécurité de l’information français, l’association professionnelle du secteur.
La réalisation de tests d’intrusion, la sensibilisation des salariés (dont l’intérêt s’accroit avec l’essor des terminaux personnels), ou l’installation de solutions antivirus constituent des passages obligés pour les entreprises. Une évaluation des coûts engendrés par une attaque s’avère enfin indispensable, pour le lieutenant-colonel de gendarmerie Eric Freyssinet, interrogé par La Tribune. « Le risque est qu’il n’y ait pas d’enquête judiciaire… car il nous faut des arguments pour convaincre les magistrats », explique-t-il. De la vie numérique à la vie réelle, il n’y a qu’un pas.
E-reputation : des assurances pour les particuliers
Du dépôt d’informations compromettantes sur la Toile aux menaces proférées par des individus concernant la diffusion de données personnelles, la protection de la réputation numérique de chaque individu s’installe comme une thématique-clef pour les assureurs. Le contrat « Protection familiale intégrale » d’Axa, dédié aux accidents de la vie, inclut désormais une couverture contre les risques numériques, tandis que SwissLife s’est rapproché de la société spécialisée Reputation Squad pour créer une garantie spécifique, commercialisée au prix de 9,90 euros par mois.