Comment bien assurer son risque cyber?

« Il n'y a pas de nouveaux types de risques de fraude, elles sont simplement plus importantes et plus nombreuses », énonce Benoît Dufresne Daf d'Itesoft, entreprise spécialisée dans les logiciels de digitalisation et d'automatisation des processus métier. Ce dernier a participé à la Commission et à la réalisation du guide pratique sur la cyberfraude avec la DFCG. Cela concerne des profils de faux fournisseurs, faux clients ou encore des fraudes relatives à la TVA et aux prestations sociales. Une hausse des attaques cyber confirmée par le baromètre Fraude et Cybercriminalité 2021 d'Euler Hermès et la DFCG. Ainsi, 2 entreprises sur 3 ont subi au moins une tentative de fraude cette année, et 1 entreprise sur 5 a subi plus de 5 attaques. Et si 33% des entreprises victimes de fraude ont subi un préjudice supérieur à 10K €, 14% ont subi un préjudice supérieur à 100K €. « Une fois suffit à ruiner la santé financière de l'entreprise. La priorité du daf est de sécuriser son processus Procure-to-Pay (P2P) », précise le daf d'Itesoft.

Contrôles a priori et séparation des tâches

Quel est le rôle du daf face à ces cyberattaques ? « Il faut adresser ces contrôles a priori et systématiser les points de contrôles sur tous les documents, sur les données et les processus avant les contrôles métiers. Le faire après traitement métier et de façon aléatoire par échantillonnage, cela reste inefficace. Seulement 21% des fraudes sont récupérables lorsque les contrôles sont faits a posteriori selon l'étude Markess pour ITESOFT, 2021 « Lutter contre la fraude : est-ce rentable? », souligne Benoît Dufresne. Une des bonnes pratiques consiste également à bien séparer les opérations sur l'ensemble des données de l'entreprise, à savoir : le traitement, le contrôle et la validation. Des efforts de communication et d'information doivent être également réalisés en interne sur le sujet. « S'il existe la fraude au document, la fraude au collaborateur est aussi un risque important. Les fraudeurs peuvent être de simples collaborateurs qui détournent des fonds de l'entreprise. Ainsi, pour sensibiliser nos collaborateurs à ce type de risques, nous réalisons de fausses attaques ou pischings afin de voir leurs réactions », détaille le daf d'Itesoft.

Définir sa politique de gestion des risques en interne

Une fois ces bonnes pratiques mises en place, reste l'épineuse question de l'assurance cyber. Quel type de couverture et pour quels types de risques? Ainsi, 87 % des grandes entreprises sont couvertes par un contrat d'assurance cyber, mais pour une couverture trop limitée (38 M€ en moyenne) au regard de leur exposition, selon l'étude LUCY (pour Lumière sur la CYberassurance) de 2021 réalisée par l'Amrae.

Dans un premier temps, bien comprendre la nature des risques auxquels est exposée son entreprise est primordial. « Avant de se lancer auprès d'un courtier en assurance, le daf doit comprendre quel est le type d'exposition aux risques de sa société en fonction de son secteur d'activité et le montant financier maximal auquel elle est exposée. Son premier réflexe doit être d'aller discuter avec le responsable de la sécurité et/ou de l'informatique et voir quelles sont les solutions à déployer en interne », explique Philippe Cotelle, administrateur et président de la commission Systèmes d'Information de l'AMRAE et Risk Manager d'Airbus Defence & Space.

Il faut ainsi dans un premier temps se poser les bonnes questions, écrire les scénarii qui peuvent affecter l'entreprise et quantifier les pertes financières potentielles avec les équipes daf et business : « exemple, si je perds l'ensemble des données personnelles de mes clients (cartes de crédit, ...), quelles seront les montants des remboursements ? Si un ransomware bloque mes systèmes d'information pendant 15 jours et que seulement 50% de mes équipes travaillent, à combien s'élèvent mes pertes d'exploitation ? etc... », souligne Philippe Cotelle.

Déterminer son "appétence aux risques"

Une autre interrogation est celle de son appétence aux risques : « Est-ce que j'accepte une grosse franchise pour faire baisser ma prime de risques mais je garde les risques en interne ou alors je n'ai pas les moyens de garder ces risques et donc ma franchise sera la plus basse possible mais plus chère ? » Ainsi, avant d'aller voir un courtier pour négocier auprès des assureurs, il faut maîtriser sa politique de gestion des risques en interne et bien connaître ses besoins en termes de couverture. Pour trouver un compromis final, le daf peut jouer sur 3 leviers : la franchise, le montant maximal de couverture et les termes du contrat.

Une explosion des primes et des franchises

Selon l'étude "marché & des perspectives 2022 - assurances des entreprises" datée de septembre 2021 de l'Amrae, le marché de la Cyber assurance est clairement entré dans un « very hard market » depuis 1er juillet 2021. Les acteurs se raréfient, le marché se concentre. Les exigences des assureurs sur la qualité des profils de risque ont considérablement augmenté. Ainsi, selon l'étude LUCY de l'Amrae, on note une augmentation du volume de primes de 49 %, qui est passé de 87 M€ en 2019 à 130 M€ en 2020. Mais cette croissance est très inférieure à celle du montant des indemnisations versées qui a été multiplié par 3, passant de 73 M€ en 2019 à 217 M€ en 2020.

Manque de capacité des assureurs cyber

Mais si de fait face à la montée des risques de fraudes, le montant des primes explose, le problème est ailleurs selon Philippe Cotelle. « Trouver des assureurs qui ont la capacité d'assurer ce type de risques est un vrai sujet d'inquiétude. Il y a une réduction drastique des capacités chez les assureurs avec une tension sur les couvertures des ransomwares ». Ainsi, les assureurs se désengagent des conséquences financières des ransomwares : à savoir les pertes d'exploitation. Or, ne pas limiter ce type de couverture engendrerait « un cycle vertueux car les entreprises auraient moins de frais de gestion de crise et ne payeraient pas de rançon ». Ainsi, selon une enquête de société la américaine de cybersécurité Cybereason en juin 2021, environ 80 % des organisations qui ont payé une rançon ont subi une deuxième attaque et 46 % de ces entreprises pensent que la nouvelle attaque a été causée par les mêmes attaquants.

Autre point noir des assureurs : si les couvertures de risques englobent à la fois les actes dits malicieux et actes accidentels (exemple : un programmeur qui fait une erreur de programme et fait sauter le réseau), « il existe également une tension des assureurs pour supprimer les risques des actes accidentels », selon Philippe Cotelle.

A terme, le marché de l'assurance cyber devra se renouveler. Mais « Ces risques (cyber) sont à long terme, or le marché de l'assurance apporte des réponses court-termiste et volatiles, ce qui fait que d'une année voire d'un mois sur l'autre on ne sait plus les conditions auxquelles les entreprises pourront s'assurer", déplore Philippe Cotelle.