Le secteur de l’assurance est en pleine crise existentielle face au risque cyber. Mario Greco, PDG de Zurich Insurance, l’une des plus grandes compagnies d’assurance d’Europe, a averti que les cyberattaques, plus que les catastrophes naturelles, risquaient de devenir « non assurables » alors que les perturbations causées par les pirates informatiques continuent d’augmenter
Les dirigeants d’assurance ont de plus en plus mis en évidence les risques systémiques, tels que les pandémies et le changement climatique, ces dernières années, qui mettent à l’épreuve la capacité de l’industrie à fournir une couverture. Pour la deuxième année consécutive, les sinistres liés aux catastrophes naturelles devraient dépasser les 100 milliards de dollars.
Mais Mario Greco a estimé auprès du Financial Times que le vrai risque à surveiller était le risque cyber. « Ce qui deviendra non assurable, c’est le cyber », a-t-il déclaré. « Et si quelqu’un prenait le contrôle de parties vitales de notre infrastructure, quelles en seraient les conséquences ?
Des couvertures critiquées
La loi de programmation du ministère de l’Intérieur récemment adoptée en France permet aux entreprises d’être indemnisées pour les rançons informatiques payées, à condition qu’une plainte soit déposée dans les 24 heures. Une forme de couverture critiquée par de nombreux experts du secteur, dont le PDG de Zurich, de peur qu’elle n’incite à l’extorsion.
Il y a six mois, seuls cinq des douze premiers assureurs français proposaient des contrats couvrant les rançons informatiques, et seuls huit disposaient d’un produit cyber dédié. Axa et Generali ont cessé de couvrir ce risque. Axa a beaucoup évolué sur ce dossier, alors que Generali, malgré la légalisation, ne semble pas prêt à couvrir à nouveau ce risque.
« La validation du paiement des rançons permet de limiter un business model, mais évite la question des clauses complémentaires, comme la garantie concernant la reprise du système d’information ou la perte d’exploitation, qui pourraient coûter aux assureurs bien plus qu’un paiement. de cyber rançons », estime Guillaume Verney-Carron, président et co-fondateur de Serenecity, société experte en cybersécurité. A l’instar de Sapa, l’assureur des agents généraux d’Axa, les professionnels souhaitent réduire voire supprimer la part des garanties cyber dans les contrats qui ne sont pas spécifiquement dédiés à ce risque.
A l’étranger, bien que le risque soit plus fréquemment couvert, de nombreuses exonérations sont prévues dans les contrats pour certains types d’attentats. En 2019, Zurich Insurance a initialement rejeté une réclamation de 100 millions de dollars de l’entreprise alimentaire Mondelēz, propriétaire des marques LU et Oréo, visant le logiciel de destruction de données NotPetya. La compagnie d’assurance avait fait valoir que le contrat excluait les « actes de guerre ». Les deux parties sont ensuite parvenues à un accord.
En septembre, Lloyd’s of London, une place de marché qui réunit plusieurs grandes compagnies d’assurance britanniques, a soutenu une initiative visant à limiter les risques systémiques liés aux cyberattaques en appelant à ce que les polices d’assurance souscrites sur la place de marché incluent une exemption pour les attaques parrainées par l’État.
Une perte d’un milliard d’euros
Selon le rapport d’activité 2021 de la Commission nationale de l’informatique et des libertés (CNIL), les PME et TPE représentent les deux tiers des déclarations de violations de données personnelles liées au piratage informatique. Cependant, moins d’un pour cent d’entre eux sont couverts par ce risque. « Les PME et les TPE sont celles qu’il faut assurer en priorité », estime Mickaël Robart, directeur en charge du développement du courtier Diot-Siaci, ce sont elles qui sont tentées de payer la rançon alors que « dans 99% des cas » . , les grands groupes refusent. »
L’organisme met en avant la « forte croissance » des attaques de ransomwares (43% des attaques). Les activités professionnelles, scientifiques et techniques sont les plus touchées (21 %), suivies des organismes de santé (18 %), du secteur public (12 %) et des entreprises du secteur financier (10 %).
En août dernier, la perte de chiffre d’affaires cumulée des entreprises françaises s’élevait déjà à plus d’un milliard d’euros, selon Anozr Way dans son dernier baromètre publié uniquement par Challenges.
Avec les rançons des entreprises, les cyberattaques sont devenues un outil central de la guerre moderne. Les services ukrainiens de cybersécurité ont annoncé mardi avoir neutralisé plus de 4.500 cyberattaques russes contre leur pays depuis le début de l’année, a accusé lundi un responsable.