En septembre 2022, la Direction générale du Trésor (DGT) a publié un rapport stratégique sur le développement de l’assurance contre le risque cyber. Rémi Bottin, directeur synergies et développement au cabinet Bessé Conseils, analyse les conclusions de ce rapport et propose des pistes concrètes pour encourager les entreprises à mieux se prémunir contre les cybermenaces.
Comprendre le risque cyber et ses impacts pour les entreprises et leurs tiers
En matière d’assurance, qu’est-ce que le risque cyber ?
Avec l’accélération de la transformation numérique, les systèmes d’information sont désormais au cœur — et souvent au sommet — de la chaîne de valeur des entreprises.
Le risque cyber désigne l’ensemble des atteintes, qu’elles soient internes (erreurs humaines, malveillance interne) ou externes (attaques informatiques, ransomware, intrusions), pouvant toucher ces systèmes. Un incident de sécurité informatique peut avoir des conséquences directes sur l’activité de l’entreprise, mais aussi un impact indirect sur son écosystème : fournisseurs, clients, partenaires…
Pour un chef d’entreprise, protéger cet « outil de production numérique » est devenu aussi crucial que de sécuriser ses locaux ou ses machines.
Quels sont les préjudices pour une entreprise ?
Lorsqu’une entreprise est victime d’une attaque informatique, les conséquences peuvent être multiples et lourdes. Trois catégories principales de préjudices sont généralement constatées :
- La perte d’exploitation : ce type de préjudice représente environ deux tiers des impacts financiers d’un incident cyber. Lorsque l’outil de production numérique est paralysé — parfois totalement — l’entreprise ne peut plus assurer sa production, générant une perte directe de chiffre d’affaires.
- Les frais de remédiation : après une attaque, il est crucial de restaurer et sécuriser le système d’information. Cette phase, appelée remédiation, mobilise des experts en cybersécurité pour analyser la persistance de la menace, vérifier l’intégrité des sauvegardes, remettre en état les serveurs et postes de travail, et s’assurer qu’aucune donnée n’a été corrompue. Ces interventions peuvent rapidement représenter un coût significatif.
- La gestion de la communication : trop souvent négligée, la communication post-incident est pourtant essentielle. Elle permet de maintenir la confiance des clients, fournisseurs, partenaires et même des équipes internes. S’il est difficile de reprocher à une entreprise d’avoir été attaquée, une mauvaise gestion de crise, notamment sur le plan communicationnel, peut fortement nuire à son image. Mettre en place un plan de communication de crise, interne et externe, est donc indispensable.
Quelles peuvent-être les conséquences pour les tiers ?
La menace cyber remet en lumière les enjeux du RGPD (Règlement général sur la protection des données) et l’analyse des informations détenues par les entreprises.
En B2C, celles-ci collectent et conservent des données clients. Se pose alors la question de leur nature, de leur finalité et de l’obtention d’un consentement valide.
Au-delà des obligations réglementaires, une cyberattaque peut aussi engager la responsabilité civile de l’entreprise. Un client affecté par l’incident peut avoir subi un préjudice, par exemple.
Accompagner les entreprises et les assureurs face au risque cyber
Quelle est la réaction des assureurs lors d’une cyberattaque ?
Assureur et assuré partagent le même objectif : relancer l’activité au plus vite. Des frais supplémentaires, comme la remise en état du matériel informatique, peuvent être engagés pour limiter l’ampleur des pertes d’exploitation. Dans certains cas, l’assureur préfère financer ces actions immédiates afin d’accélérer le redémarrage de l’entreprise.
Faut-il payer la rançon en cas de rançongiciel ?
Le rançongiciel est aujourd’hui l’une des attaques les plus fréquentes, touchant tout type d’organisation.
Si la question du paiement se pose pour limiter la perte d’exploitation, les autorités françaises — ANSSI, gendarmerie, police — maintiennent une position claire : ne pas payer.
Le règlement de la rançon présente plusieurs risques : absence de garantie sur l’intégrité des données, probabilité accrue de subir une nouvelle attaque, et encouragement de la cybercriminalité.
La priorité doit être de mettre en place des mesures préventives et des procédures de reprise permettant de redémarrer l’activité sans céder aux cybercriminels.
Pourquoi certains assureurs envisagent-ils le paiement de la rançon ?
Chez certains assureurs, l’idée prévaut que régler la rançon peut, à terme, coûter moins cher que de la refuser.
Selon la DG Trésor, appuyée par les assureurs, les coûts et sinistres peuvent être plus élevés et plus difficiles à encadrer en cas de non-paiement.
D’où l’importance de la préparation en amont : sauvegardes fiables, plan de reprise, présence d’un RSSI/DSSI… Les assureurs interviennent en dernier recours, mais une entreprise bien préparée peut redémarrer son activité sans céder aux cybercriminels.
En pratique, les ETI peu sensibilisées à la cybersécurité auront tendance à payer, faute de solutions immédiates. Les grandes entreprises, mieux équipées et organisées, refusent plus souvent de verser la rançon.
Comment accompagner les entreprises pour faire face au risque cyber ?
L’obligation d’assurance n’est pas la solution. Les PME et TPE sont déjà conscientes du risque, et des initiatives existent : actions des banques, financement via le plan de relance de l’État…
La priorité est de définir des référentiels clairs indiquant le minimum de mesures à mettre en place.
Le secteur de l’assurance pourrait développer des modules prêts à l’emploi pour faciliter la protection. Aujourd’hui, l’offre est riche, mais un chef d’entreprise ne sait pas toujours par où commencer.
Comment préparer les assureurs à mieux gérer le risque cyber ?
Les assureurs doivent disposer de capitaux propres suffisants pour honorer leurs engagements. Pour la DGT, l’essentiel est de vérifier qu’ils ont pleinement conscience de leurs responsabilités face au risque cyber.
Traditionnellement, les contrats couvrent les garanties “dommages” et “responsabilité civile”, et certains incluent déjà le cyber.
Aujourd’hui, les assureurs souhaitent créer une branche spécifique dédiée au risque cyber. Cela implique d’identifier les éléments cyber dans les contrats existants et de développer des garanties et polices entièrement consacrées à ce risque.
Les préjudices varient selon la taille de l’entreprise.
Les coûts d’un sinistre cyber dépendent fortement de la taille de l’entreprise. En assurance, il est rare de devoir financer la réparation totale d’une structure, car la plupart des entreprises sont partiellement préparées.
En revanche, un sinistre majeur peut tout compromettre si l’entreprise n’a pas anticipé. Les assureurs doivent donc réussir à mutualiser les risques et à vendre davantage de contrats de cyber assurance, souvent via des questionnaires d’évaluation des mesures de cybersécurité.
Les solutions peuvent aussi varier selon la typologie : TPE, PME/PMI, ETI ou grand compte n’ont pas les mêmes besoins ni les mêmes capitaux. Proposer des solutions clé en main, avec des garanties claires, permet au chef d’entreprise de choisir l’assurance cyber adaptée à sa situation.
Publié le 30 avril 2024 par ANDRE Guillaume
Nos autres articles
Dernières actualités et moments forts
du campus cyber breton sont ici !
Besoin d’aide ou de conseils sur le sujet ?
L’équipe de Bretagne Cyber Alliance est là pour vous orienter vers le meilleur interlocuteur de l'écosystème !