Grenoble, le 08 septembre 2022 :
Dans le cadre du projet de loi d’orientation et de programmation du ministère de l’Intérieur, présenté en conseil des ministres le 7 septembre, le ministère de l’Economie a acté dans un rapport le principe d’indemnisation des rançons payées par les entreprises visées par cyberattaques, à condition qu’elles portent plainte. Une recommandation qui devrait inciter les assureurs à prendre en charge ces rançons et permettre ainsi aux entreprises, quelle que soit leur taille, d’être mieux couvertes en matière de risques cyber, désormais plus probables que le risque d’incendies, mais pas assurés. Explications et conseils de Nousassurons, réseau de courtage en assurances spécialisés dans les risques d’entreprises.
Mercredi 7 septembre, dans le cadre du projet de loi d’orientation et de programmation, le ministère de l’Intérieur a présenté en Conseil des Ministres un rapport recommandant le paiement par les assureurs des rançons liées à des cyber attaques à condition qu’une plainte soit déposée.
« Cette clarification apportée par le gouvernement va permettre aux assureurs traditionnels qui étaient réticents, d’inclure le paiement des rançons dans les garanties des risques cyber, au bénéfice des assurés, des dirigeants des entreprises de toutes tailles dont l’activité peut être totalement paralysée en cas d’attaque cyber » analyse Jérôme Robin, président de Nousassurons.
Un risque cyber de plus en plus élevé, davantage même que le risque incendie
En effet, toutes les entreprises, quelle que soit leur taille, dès lors qu’elles sont informatisées, sont potentiellement concernées par le risque cyber. « Trop peu d’entreprises sont couvertes pour le risque cyber car cela représente un coût supplémentaire, alors même que le risque de piratage informatique est désormais plus élevé que le risque incendie, avec en outre des conséquences plus importantes car contrairement à un incendie qui ne touchera qu’un entrepôt ou un bureau, une cyber attaque peut toucher l’ensemble du réseau et donc des sites d’une entreprise ! » prévient Sonia Blanchard, responsable des risques d’entreprises chez Nousassurons.
Les chiffres récents en attestent : selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) les attaques par rançongiciel (ou ransomware) contre les entreprises françaises, c’est-à-dire la prise d’otage des données d’une entreprise contre une rançon, ont augmenté de 255 % en 2020 par rapport à 2019. Et d’après le Baromètre de la cybersécurité en entreprise CESIN 2022, plus d’une entreprise française sur deux (54 %) a été victime d’au moins une cyberattaque au cours de l’année 2021.
Si d’après Bercy, en France, la rançon moyenne réclamée atteint 6 400 euros en 2021, un chiffre en hausse de 50 % par an depuis 2016, selon Nousassurons, le coût global d’une attaque, incluant la perte d’exploitation, les destructions des outils informatiques, la fuite de données et l’impact en termes d’image atteint entre 30 000 et 60000 €.
S’assurer contre les risques cyber, une nécessité pour protéger son activité
Pour autant, d’après le Trésor l’assurance cyber ne représente que 3 % des cotisations en assurance dommage des professionnels, alors que ce risque s’accroit chaque année, et concerne toutes les entreprises, il est nécessaire d’être bien assuré. « Les dirigeants d’entreprises et notamment des TPE/PME n’ont pas toujours conscience des risques, d’où l’importance de la prévention, et de l’information, car les conséquences peuvent être très graves, pour toutes les entreprises qui gèrent des données personnelles, et pas seulement les sites de e-commerce ou les banques, mais aussi les médecins, experts-comptables, avocats… Avec plus d’une dizaine offres de contrats d’assurance cyber, chez Nousassurons nous avons des solutions quelle que soit la taille des entreprises, de la profession libérale à L’ETI » explique Jérôme Robin.
Le versement de rançon d’ores et déjà garanti dans certaines contrats Nousassurons, mais pas dans toutes les compagnies
L’assurance cyber prend en charge l’ensemble des conséquences et dommages liées à la cyber attaque :
– La Garantie responsabilité civile, en cas de recours notamment des clients affectés, comme cela peut être le cas pour des prestataires informatiques, expert-comptable, banques, assureurs, site de e-commerce, ou toutes entreprises qui gèrent des données personnelles.
– Les dommages liés à l’infection et la destruction des outils informatiques de l’entreprise : certains assureurs mettent à disposition une assistance informatique pour gérer l’attaque, avec un prestataire disponible 24H/24H, y compris le week-end pour agir immédiatement en cas d’attaque en en limiter l’impact et la propagation à l’ensemble du réseau ou des outils, et donc la perte d’exploitation. Sont également pris en charge le cout des changements d’outils, et tous les couts annexes liés à l’attaque.
– Une assistance règlementaire pour informer les clients de la fuite de données (process administratif spécifique) et gestions des retombées en termes d’image.
– Une couverture de la perte d’exploitation déterminée en fonction du niveau de blocage lié à l’attaque.
« Concernant le paiement de rançon, certaines compagnies, prennent en charge la rançon et la cyber extorsion, mais elles sont peu nombreuses car jusqu’à maintenant, on était dans une zone grise. Sous l’impulsion du gouvernement, les assureurs pourraient revoir leur position sur ce point. Par ailleurs, certaines compagnies vont plus loin et assurent également la fraude des emails, l’usurpation d’identité du dirigeant, les piratages des accès aux comptes ou la validation des virements… Chez Nousassurons, nous proposons des contrats couvrant l’ensemble de ces garanties, y compris la prise en charge des rançons » explique Sonia Blanchard.
Le coût des assurances contre les risques cyber varient en fonction des entreprises, mais globalement, il faut compter en moyenne de 500 € à 1000 € pour une TPE et 3000 € pour une PME. Au-delà, des offres sur mesure sont proposées en fonction du CA mais aussi de l’activité et de son exposition aux risques cyber.
« En outre, via l’assurance cyber il est possible de bénéficier d’un audit gratuit pour analyser leur système informatique, l’améliorer et en réduire les failles. Cette prévention permet ainsi de limiter les risques dont les coûts et l’impact en termes d’images vont parfois au-delà de ce qui sera indemnisé… » conclut Jérôme Robin.
À propos de Nousassurons
Créée en 2011 par Jérôme ROBIN, NousAssurons est un réseau de courtage en assurances proposant des solutions couvrant les risques pour les professionnels, l’entreprise et les particuliers. Aujourd’hui, NousAssurons, 1ère marketplace de l’assurance, propose à ses 80 affiliés des solutions digitalisées performantes et compétitives et met à leur disposition des spécialistes de l’assurance.