Les attaques de cybercriminels se multiplient. Outre le piratage du fichier de clients de la playstation de Sony, Bank of America en mars 2011, EDF le 4 avril et bien d’autres ont eu à faire face à une agression informatique l’an dernier. Des affaires dont le poids économiques est loin d’être négligeable. Le piratage du fichier de Sony a par exemple entraîné la perte de 80 millions de données et au total ce sinistre représente un coût de 73 millions d’euros. “C’est du même ordre qu’un gros sinistre industriel”, observe Guillaume de Chatellus, directeur des risques d’entreprises province chez Generali. Pour cette raison, l’atelier organisé jeudi à Deauville lors des Rencontres annuelles de l’Amrae, l’association des risks managers, a connu une forte affluence.
Toutes les entreprises seront bientôt obligées d’avertir quand elles sont victimes d’une cyberattaque
Toute la difficulté est justement d’évaluer l’ensemble des coûts d’un acte de piratage ou de fraude informatique pour une entreprise. Le seul coût de notification de perte (ou de fraude) d’une donnée aux autorités, aux personnes ou aux entreprises concernées peut varier de 20 à 200 euros par donnée. Quand il s’agit de millions de données, la facture monte vite ! Aux Etats-Unis la notification (c’est à dire le fait d’avertir la puissance publique et le victimes potentielles) est obligatoire pour toutes les entreprises mais en France, seuls des entreprises spécifiques comme les opérateurs télécom y sont actuellement contraints…Pour l’instant, car une proposition de directive a été déposée le 25 janvier visant à étendre cette obligation à tout type d’entreprise en France et dans les pays de l’Union européenne.
L’évaluation est indispensable pour lancer une enquête judiciaire
En plus de coût de notification aux autorités et aux victimes, l’entreprise qui subit une cyber attaque peut faire face à une perte de chiffre d’affaire et à des surcoûts de fonctionnement pour remettre ses systèmes informatiques en état. Elle peut avoir à subir une amende et lorsque des tiers sont touchés, elle peut devoir verser des indemnités à la suite de réclamations. Mais comme le souligne Guillaume de Chatellus de Generali, il faut aussi prendre en considération les conséquences immatérielles sur la fidélité des clients, sur la réputation et la notoriété, sur le capital confiance de l’entreprise. Autant de valeurs immatérielles dont la dégradation est difficile à chiffrer.
Pourtant, il est essentiel pour l’entreprise d’évaluer les dommages entraînés par une attaque informatique. “C’est important d’avoir une bonne idée de ce que cela coûte à la victime car c’est décisif pour nous inciter à agir. Il faut aussi indiquer le délai dans lequel le système défaillant doit être mis en oeuvre”, explique Eric Freyssinet, lieutenant-colonel de gendarmerie, chef de la division de lutte contre la cybercriminalité. A défaut d’une évaluation précise, “le risque est qu’il n’y ait pas d’enquête judiciaire…car il nous faut des arguments pour convaincre les magistrats”, ajoute-t-il.
Une assurance spécifique plafonée à 50 millions d’euros
Il existe des assurances contre les risques de cyber attaques. “On peut trouver 50 millions d’euros de garanties sur le marché français”, indique Luc Vignancour, directeur adjoint du département Finpro du courtier Marsh. La plupart des police couvrant spécifiquement les cyber-risques ont des plafonds de garanties de 50 000 euros à 15 millions. Jusqu’à cette somme, un seul assureur souscrit le contrat. Au delà de 15 à 50 millions d’euros, il s’agit d’un contrat en coassurance. Peu d’assureurs sont toutefois spécialistes de ces risques sur le marché français et tous sont anglo-saxons. Pour de grandes entreprises ce plafond de 50 millions peut sembler faible, il peut toutefois être augmenté en faisant appel à des capacités à l’étranger.
L’autre solution peut être d’intégrer des garanties spécifiques dans des polices plus générales. L’assurance dommages aux biens peut prévoir d’indemniser les pertes de chiffres d’affaires et autres dommages matériels après une cyberattaque. La police en responsabilité civile générale peut elle aussi avoir une clause couvrant les coûts des réclamations après une cyberattaque. Et la police couvrant les risques de fraude peut inclure aussi les fraudes informatiques ou via les réseaux sociaux par exemple. Encore faut-il que les assureurs soient d’accord pour élargir leurs contrats. Or très souvent ces risques, liés à l’informatique et leurs conséquences, sont justement exclus des polices d’assurance plus générales.