Il est devenu impossible, aujourd’hui, de se passer des réseaux Internet et de leurs opportunités commerciales. Pourtant la fluidité des échanges peut se retourner contre l’entreprise quand des individus parviennent à pénétrer son système informatique.
En décembre dernier, le fabriquant de jouets asiatique VTech avouait ainsi s’être fait pirater près de 5 millions de comptes clients du monde entier, dont environ 900 000 en France. Un peu avant, en avril 2015, la chaîne internationale francophone TV5Monde diffusée dans 200 pays subissait une cyberattaque massive de pirates interrompant la totalité de ses programmes pendant 8 heures. Ces attaques peuvent coûter très cher : TV5Monde devrait dépenser une douzaine de millions d’euros au total d’ici 2018, rien qu’en réparations informatiques. On comprend dès lors l’intérêt de souscrire une assurance contre les conséquences du cybercrime.
Cybercrime : 3 formes principales
Au cabinet d’expert comptable Cigeco, à Limoges (Haute-Vienne), Michel Guillout, directeur informatique, distingue trois formes principales de cybercrime. La première ? Rendre indisponible les données « quand quelqu’un bloque votre activité. Si vous avez un site de e-commerce, vos ventes chutent. Et si on vous injecte un virus, cela peut bloquer tout votre système informatique. » Deuxième forme courante de cybercrime : le vol de données de l’entreprise, « très gênant en terme de responsabilité et d’image » vis- à-vis des clients et du marché. La troisième attaque, la plus courante, l’extorsion ou « rançonning », survient « lorsque quelqu’un parvient à crypter vos données et vous demande une rançon pour les décrypter », achève Michel Guillout.
Quelles garanties ?
Aujourd’hui, la plupart des assureurs proposent des garanties contre ces trois formes de cybercriminalité. A minima, l’assurance en responsabilité civile, qui permet d’indemniser les tiers (clients, fournisseurs) en cas de dommage, est généralement étendue aux cyber risques. Selon les formules, les assureurs peuvent aussi aller plus loin et prendre en charge les pertes d’exploitation de l’entreprise, ou encore les frais de communication – il est en effet obligatoire d’avertir la Cnil et les clients en cas de cyberattaque.
Attention aux exclusions
Chez Axa, les trois niveaux d’assurances sont ainsi proposés. Pour tous les assureurs, les tarifs se négocient et varient en fonction des risques couverts et de la taille de l’entreprise. Les primes d’assurances démarrent entre 1500 € et 2500 € annuels pour des montants de garantie de 250 000 à 700 000 €. Certains assureurs, comme Allianz, garantissent jusqu’à 20 à 30 millions d’euros. « Si l’entreprise est très prudente et a assuré des sauvegardes, elle peut se permettre de prendre une prime assez faible », estime cependant Michel Guillout. Comme pour toute assurance, il faut prendre garde aux franchises – les montants qui resteront à votre charge -, et aux clauses d’exclusion : « Certaines assurances ne vous couvrent plus si une faute a été commise au niveau de l’entreprise », avertit Michel Guillout.
Anticiper les risques
« Avant de souscrire une telle assurance, il est nécessaire de cartographier ses risques et de mettre en place les systèmes de sécurité adéquats », estime Michel Guillout. Une petite entreprise dans les biotechnologies constituera une cible hautement stratégique. Les cabinets d’experts comptables, les journalistes ou les avocats aussi… Mais bien d’autres activités peuvent être victimes de cyberattaques. « Un de mes clients, un hôtelier, s’était fait crypter ses fichiers clients. Les pirates lui demandaient 900 dollars. Heureusement il avait assez de sauvegarde pour n’avoir pas à payer la rançon », se souvient Michel Guillout. Former les salariés à la sécurité informatique et mettre en place des techniques de sécurisation des données est aujourd’hui un incontournable. « Il faut également penser au plan de reprise d’activité (PRA) après l’attaque », souligne Michel Guillout. L’assurance est ce qui vient en plus, lorsque tout le reste a déjà été envisagé.