Risque Cyber : de l'importance d'être (vraiment) couvert

27 juin 2017 : partout dans le monde, des organisations publiques et privées, grandes et petites, viennent de faire l’objet d’une cyber-attaque massive du nom énigmatique de NotPetya, un procédé simple de destruction automatique de données via un logiciel malveillant.

Combien d’organisations ont-elles été véritablement touchées par NotPetya, un procédé simple de destruction automatique de données via un logiciel malveillant ? Difficile à dire encore aujourd’hui. Une chose est sûre pourtant, cette attaque inédite a eu un coût : le quotidien Le Monde s’était essayé à un rapide décompte en novembre 2017, estimant à plus de 1 milliard d’euros, a minima, les pertes consolidées en lien avec NotPetya. Certaines des entreprises affectées bénéficiaient pourtant d’une assurance contre le risque cyber. C’est en tous cas ce que pensait le groupe Mondelez, géant international de l’agroalimentaire, qui a donc été surpris du refus d’indemnisation de sa compagnie d’assurances, Zurich American Insurance Company fin 2018. Un procès est aujourd’hui en cours entre les deux sociétés pour savoir si oui ou non Mondelez peut être indemnisé dans le cadre de son contrat.

Quel est le point de contentieux ? Le contrat d’assurance Dommage qui couvrait le risque cyber de Mondelez inclut, comme la plupart de ces contrats sur le marché, une clause d’exclusion pour les dégâts causés par "un acte hostile ou un acte de guerre" mené "en temps de guerre ou de paix" par "un gouvernement ou un pouvoir souverain." NotPetya est aujourd’hui considéré comme tel.

Sans préjuger de la décision de justice qui sera rendue, on peut d’ores et déjà tirer une leçon de ce contentieux : le risque cyber est un risque à part, protéiforme, évolutif, changeant quasiment chaque jour. Il nécessite donc une couverture dédiée et ne peut se contenter d’une inclusion dans un contrat plus global.

Pour travailler au quotidien aux côtés des chefs d’entreprises je sais que bien souvent, ils sous-estiment le risque cyber pour eux-mêmes, persuadés que "cela n’arrive qu’aux autres" (aux plus grandes entreprises, aux entreprises plus internationales, aux entreprises très équipées en IT…). Avec notamment l’argument des contraintes budgétaires, la tentation de ne pas se pencher spécialement sur le risque cyber est grande, ce d’autant plus que les affaires comme Mondelez donnent l’impression que "même si on est couvert, on ne sera pas indemnisé, alors à quoi bon ?". C’est tout à fait faux ! Nous avons fait un travail de simulation auprès de nos partenaires assureurs et pour 100% de nos contrats dédiés au cyber aujourd’hui, nous aurions pu indemniser nos clients victimes de NotPetya.

Alors par où commencer ? La première étape pour les chefs d’entreprises, grandes ou petites, est d’ouvrir le dialogue sur le sujet du cyber risque avec son partenaire assurantiel, pour cartographier les points de fragilité (systèmes IT, pratiques dans l’entreprise…) et identifier des solutions de prévention, pour réduire leur vulnérabilité à une cyber attaque. Il faut ensuite assurer le risque.

Dans un monde hyper-digitalisé, marqué par une omniprésence des technologies et de la data, le risque cyber est partout. Toutes les entreprises sont exposées. Il en va parfois de leur survie si le préjudice est important. Manager ce risque est donc la clé.