Skip to main content
Actualités Prospective Industries
Article

Cyber : un risque bientôt non assurable ?

Les PME, qui ne disposent pas souvent des contrôles et des moyens pour investir dans la cybersécurité, sont de plus en plus ciblées par les hackers. Au point que les assureurs se posent la question de rendre ce risque inassurable.

Les PMI figurent parmi les priorités de la politique de développement d'Orange Cyberdefense. Cela ne doit rien au hasard : d'une part, entre octobre 2021 et septembre 2022, l’industrie manufacturière a été le secteur le plus touché par des cyberattaques ; d'autre part, les petites entreprises sont 4,5 fois plus nombreuses à être victimes de cyber-extorsion que les moyennes et les grandes entreprises réunies, selon le dernier rapport sur la menace cyber d’Orange Cyberdéfense. « Les doubles et triples extorsions sont devenues la norme : outre le chiffrement des systèmes, le vol de données sensibles est de plus en plus souvent utilisé comme levier pour exiger une rançon aux partenaires commerciaux, aux fournisseurs ou aux clients de l’entreprise visée », Scott Sayce, directeur mondial cyber chez Allianz Global Corporate & Specialty.

Le risque cyber ne se limite pas aux rançons payées

Face à ces nouvelles vulnérabilités, en particulier pour toute la chaîne d’approvisionnement, la cyber-résilience des entreprises est aujourd’hui scrutée par un nombre de plus en plus important d’acteurs, assureurs, partenaires ou encore investisseurs internationaux. Selon un nouveau rapport d’Allianz Global Corporate & Specialty (AGCS), la menace cyber constitue dorénavant une des principales préoccupations au regard des critères environnementaux, sociaux et de gouvernance (ESG) de nombreuses entreprises.

Adoptée par l’Assemblée le 22 novembre 2022, la loi de programmation du ministère de l'Intérieur, dont une grande partie porte sur les enjeux cyber, autorise les entreprises à être indemnisées pour les rançons informatiques payées, sous condition d'un dépôt de plainte dans les 72 heures. Cette disposition est critiquée par les experts, car elle pourrait inciter les entreprises à ne pas investir contre ce risque. Elle conforterait également les cyberattaquants à continuer de plus belle.

Le risque cyber ne se limite pas aux rançons payées. Il s'étend à tous les impacts systémiques liés à la perte du système d’information. « La validation du paiement des rançons permet de borner un business model mais élude la question des clauses additionnelles, comme la garantie portant sur la remontée du système d’information ou la perte d’exploitation, qui pourraient coûter bien plus cher aux assureurs qu’un paiement des cyber-rançons », remarque Guillaume Verney-Carron, président et co-fondateur de Serenecity, une entreprise experte en cybersécurité. 

Certains assureurs excluent les garanties cyber dans les contrats de responsabilités civiles

Cette dimension systémique et l’importance des dégâts causés poussent de nombreux assureurs et réassureurs à craindre de ne plus être capable d’assurer les dommages liés aux systèmes d’information. Malgré un contexte de plus en plus tendu et des perturbations causées par les piratages qui continuent de s’accroître, Mario Greco, le PDG de Zurich Insurance, l’une des plus grandes compagnies d’assurance en Europe, avertit : « Pire que les catastrophes naturelles, les attaques numériques pourraient devenir « non assurables » en raison de leur caractère systémique et de leur coût élevé ».

Certains assureurs excluent les garanties cyber dans les contrats de responsabilités civiles. C'est le cas de SAPA, l’assureur des agents généraux d’AXA. Il est à prévoir que les tarifs augmentent et que le risque cyber soit redéfini, ce qui pourrait rendre les entreprises plus réticentes à se couvrir.