Suite aux nombreuses actualités récentes sur le sujet, notre chroniqueur Michel Juvin propose un tour d’horizon sur l’assurance cyber, ses mécanismes et ses limites.
Pour contextualiser les questionnements actuels autour de la pertinence des assurances cyber, il est utile de revenir sur la façon dont les entreprises évaluent les risques de manière globale et comment les assureurs se positionnent en fonction.
En parcourant les précédentes études, le risque cyber n’a été mentionné au niveau de l’impact uniquement, plus fortement les années précédentes 2017 à 2019 ; jusqu’à être indiqué en 3e position en 2018.
De même, dans la synthèse des risques identifiés pour les deux prochaines années, les grandes entreprises mondiales mettent en avant les risques climatiques et positionnent le risques Cyber en 7e position.
Bien que le risque cyber hante les grands dirigeants mondiaux (sans doute parce qu’ils ne maîtrisent pas ce type de risque) le rapport du WEF présente le risque Cyber par pays et il est noté en 5e position pour la France[1].
Il est à noter que AXA, qui proposait une solution d’assurance cyber, classe pour sa part, ce risque au deuxième rang.
Statistique et premiers enseignements du déploiement des cyber-assurances
Alors, où en est-on réellement ? Les cyber-assurances ont été déployées depuis quelques années au sein des grandes entreprises françaises et nous pouvons dresser un premier bilan au travers des deux études du CESIN (le club des experts de la sécurité de l’information et du numérique) et de l’AMRAE (l’association pour le management des risques et des assurances de l’entreprise).
Fort d’une communauté de plus de 800 experts cybersécurité, le baromètre annuel du CESIN (Janvier 2022) présente une photo très représentative de l’adoption et un premier feedback des cas d’utilisation !
En effet, la question suivante sur l’utilisation de la cyber-assurance est particulièrement intéressante puisque l’expérience a été compliquée ou négative pour près de 85% des cas !
Enfin, le dépôt de plainte n’est pas systématique, près de 50% des entreprises attaquées n’ont pas porté plainte.
De son côté, le rapport LUCY de l’AMRAE met en lumière les premiers enseignements de l’adoption des cyber-assurances par les entreprises. Il interroge les courtiers (et non les entreprises) et propose les résultats sur la base de plus de 2000 contrats souscrits.
Cependant, en détail, on note que les primes ont été nettement plus rentables pour les cyber-assureurs sur les ETI et PME que pour les grandes entreprises : 82% du montant total des primes en montant ont été payées aux grandes entreprises.
Ce constat a d’ailleurs amené les assureurs à doubler les primes ainsi qu’à augmenter très sensiblement les franchises en cas d’accident.
Sur le sujet de l’assurance, un rappel de la notion de gestion des risques s’impose
Dans la gestion des risques, après leur identification, il est nécessaire de réduire les risques afin qu’ils deviennent « acceptables » pour l’entreprise. A tort, certains pourront parler de transférer le risque vers un tiers, mais in fine, dans le cas de la cybersécurité, il reste une part importante de responsabilité et d’image pour l’entreprise.
Il est donc nécessaire de rappeler que les cyber-assurances ne sont qu’une couverture financière d’un accident et non la possibilité de transférer un risque cyber.
Au niveau éthique, l’assurance a pour mission de couvrir un risque qu’on ne peut pas prévoir (anticiper) ou réduire ou encore non couvert par une réglementation. Par exemple, vous traversez un croisement sous couvert d’un feu vert pour vous, et vous êtes renversé. Il est normal que l’assurance du tiers (qui a provoqué l’accident) vous indemnise mais est-ce acceptable que celui qui ne suit pas la réglementation soit aussi couvert pour son matériel ?
En appliquant le même principe, si vous avez connaissance des vulnérabilités de votre entreprise et que vous n’appliquez aucune protection, il parait donc normal qu’aucune assurance ne vous couvre, même financièrement.
En d’autres termes, si l’entreprise n’analyse pas ses risques cybers et ne réduit ses vulnérabilités identifiées (pas de plan d’actions, pas de délais de fin de projet, pas de traçabilité et de contrôles de l’avancement des plans d’actions de réduction des risques…) de manière efficace, il n’est pas souhaitable qu’une cyber-assurance couvre financièrement les pertes subies.
Les limites des cyber-assurances
De plus, les cyber-assurances ne couvrent pas la perte de propriété intellectuelle et l’atteinte à la réputation de l’entreprise. De fait, ces risques n’étant pas estimables avec précision, les cyber-assurances excluent ces risques ou ne proposent qu’une contrepartie financière qui sera estimée globalement par le contractant.
Enfin, on constate que les franchises ont été fortement augmentées ; les questionnaires remis par les assureurs sont de plus en plus inquisitoires et souvent mal protégés lors des échanges avec les assureurs). Parfois, n’ayant pas la compétence en interne, les sociétés et courtiers d’assurance commanditent une société de consulting (que vous n’avez pas choisie) et qui vient auditer votre environnement et vous donne des actions à faire qui ne sont évidemment pas celles que vous avez identifié par ailleurs ; mais qui sont celles qui concernent les risques contenus dans les clauses précises de l’assurance. L’emploi d’agence de notations sur les risques cyber, de plus en plus courant, est de la même manière hautement imparfait par rapport à la réalité du terrain dans une entreprise.
Ces pratiques augmentent d’autant plus les réactions de rejet de ce type de dépenses externes vis à vis des sociétés d’assurance, qui sont souvent choisies par une direction financière, elle-même trop peu impliquée dans la gestion des risques cybers.
Où en est-on : les dernières positions officielles
Depuis les précédentes publications de l’ANSSI enjoignant les entreprises à ne jamais payer les rançons demandées par les cyber-gangs externes, une nouvelle publication du ministère des Finance (Direction du Trésor) de septembre 2022 propose aux entreprises de recourir au dépôt de plainte auprès des gendarmes français du C3N pour obtenir à une indemnisation financière via leur cyber-assurance.
Comme le précise le journaliste Valérie Marchive dans un récent article sur les ransomwares, l’objectif de cette nouvelle position est de permettre la traçabilité les flux des crypto-monnaies déclarées et tenter de corréler les informations relevées pour identifier via Interpol et/ou Europol les organisations cybercriminelles.
En effet, le site internet Chainalysis propose par exemple aux forces de police suivre les flux de crypto-monnaies et tracer les acteurs indépendamment de leur pays d’origine ; travail important des forces de police et quelques cas de succès sont notés dans l’article. Mais les cyber-gangs savent comment blanchir les crypto-monnaies mal acquises comme je l’ai expliqué dans une de mes précédentes chroniques.
Une préoccupation est évidemment le risque d’encourager les cyber-gangs en finançant le crime (ce qui est par ailleurs peu éthique et interdit notamment aux Etats-Unis : des amendes sont infligées aux entreprises qui payent les rançons). Cette proposition entend cependant donner une chance pour les entreprises qui risquent de mettre la clé sous la porte suite à une cyber-attaque, de recouvrir leurs droits d’accès aux données et d’officialiser les flux financiers issus des demandes de rançons en passant par les services de police ; et éventuellement en négociant de la rançon.
Mais au-delà de l’intention sans doute louable : comment analyser que depuis cette dernière annonce de Bercy, il y ait eu une recrudescence d’attaque (+26 sur le simple mois de septembre) ? Les hackers ont-ils plus de raisons d’espérer être payés ?
Assurance cyber : quel choix faut-il faire aujourd’hui ?
Il est nécessaire de commencer par le début : à savoir identifier ses vulnérabilités et surtout tout mettre en œuvre pour les diminuer. Avec ces récentes publications, qui met la lumière sur les cyber-attaques, il est devenu primordial que les équipes de la DSI soient concentrées dans la réduction des risques[2] ; sous le contrôle des équipes de la Direction des risques et du Directeur Cybersécurité.
Le recours à une cyber-assurance n’est peut-être pas le bon choix pour les grandes entreprises car les investissements dans ces sociétés externes amputent le budget des équipes en charge de la réduction des risques. De plus, compte tenu des objectifs de rentabilité des cyber-assureurs, ils ne peuvent jouer qu’un rôle très annexe, par rapport à ce que chaque expert cyber des grandes entreprises doit savoir faire, et sans être une distraction de questions importantes à laquelle l’assurance cyber ne peut apporter de réponse, par nature.
Pour les petites et moyennes entreprises, la situation est plus complexe car elles n’ont souvent pas les ressources pour affronter une cyber-attaque et les conséquences peuvent être effectivement léthales comme on a pu le constater dans de nombreux cas. Cependant, il est intéressant de remarquer que certaines grandes entreprises mettent en place des captives d’assurance pour protéger leurs petites entreprises sous-traitantes qui partagent des données et intérêts stratégiques. L’idée est d’une part, d’analyser les risques globalement et de réduire les risques les plus importants à l’échelle de leur écosystème, et, d’autre part, d’apporter un peu plus de cyber-maturité à ces entreprises qui n’ont pas les ressources suffisantes pour engager ces actions. Malheureusement, aujourd’hui, hormis une entreprise comme Cybervadis, il n’y a pas beaucoup d’acteurs tiers sur le marché en France qui propose cette analyse de risque de la sous-traitance qui va uniformiser les risques au niveau du groupe.
On comprendra donc bien que l’assurance cyber n’est pas la panacée que peuvent imaginer certains dirigeants d’entreprises, pas plus avec les dernières annonces gouvernementales. L’approche et la compréhension du risque cyber par les acteurs de l’assurance, quoi qu’en disent certains lobbies, étant par nature différente de celle dont doit se prévaloir une entreprise qui veut se protéger.
[1] Page 100-117 du rapport
[2] Cartographie, analyse de risques, segmentation du réseau, plan de recouvrement testé, test de vulnérabilité régulièrement via une plateforme comme www.yeswehack.com, etc.