Attention aux chausse-trappes des assurances cyber

Alors que les attaques par ransomware se multiplient, les autorités et acteurs du secteur cyber militent pour que les entreprises s’assurent contre ce risque bien réel. Pour autant, une assurance est-elle réellement utile en cas de coup dur ?

À l’heure où les autorités poussent les entreprises à s’assurer contre les cyberattaques, l’affaire fait tache. Victime du ransomware NotPetya qui avait infecté 1 700 serveurs en 2017 et 22 000 de ses postes de travail, le géant de l’agroalimentaire Mondelez s’est tourné vers son assureur pour une indemnisation dont le montant pourrait atteindre 100 millions de dollars. Ce dernier, Zurich American Insurance Company, s’est appuyé sur une déclaration du gouvernement américain pour ne pas indemniser son client. Le prétexte invoqué était que l’attaque NotPetya a été qualifiée d’acte de guerre par Washington, un risque non couvert par la police d’assurance… Mondelez s’est retourné en justice contre son assureur et l’action est toujours en cours mais un tel refus jette le trouble au moment où les entreprises cherchent à contrer les vagues successives de ransomware en s’assurant. Si la loi du silence est de mise en cybersécurité, d’autres cas de ce type filtrent de temps à autre. Ainsi en Grande-Bretagne le plus grand cabinet d’avocats britannique, DLA Piper, est en conflit avec l’assureur Hiscox sur plusieurs millions de livres.

Devant cette contre-publicité, les assureurs tentent de dissiper les doutes des dirigeants d’entreprises. Ainsi, Françoise Louberssac, alors PDG d’April Entreprise, publiait en avril dernier une tribune qui expliquait qu’après vérification auprès de ses partenaires assureurs suite à l’affaire Mondelez, 100% des sociétaires ayant signé un contrat dédié à la cybersécurité et victimes de NotPetya auraient été indemnisés…

Une leçon à tirer du cas Mondelez vs Zurich American Insurance est d’accorder une attention toute particulière au contrat signé avec l’assureur. Si les PME n’ont pas trop le choix et doivent signer des contrats type sur lesquels elles n’ont que peu de capacités d’intervention, les grands comptes doivent passer au crible les contrats pour faire sauter les clauses bien trop ouvertes à interprétation.

Coût moyen d'une attaque de ransomware

Contrairement à ce que l’on pourrait penser de prime abord, payer une rançon double le coût de remédiation d’une attaque
par ransomware. C’est l’une des conclusions de l’enquête Sophos «The State of Ransomware 2020».

Responsabilité civile ou assurance cyber?

L’acte de cyberguerre est souvent évoqué dans la presse par les politiques, mais dans le monde cyber il n’y a jamais de déclaration de guerre officielle d’un État contre un autre et l’arbitrage de l’Anssi peut régler ces problèmes d’interprétation. Aurélia Delfosse, consultante chez le prestataire spécialisé en cybersécurité Advens, souligne que les assurances cyber sont prises « en complément de l’assurance Responsabilité civile, or il est difficile de voir où s’arrête l’assurance responsabilité civile et où commence l’assurance cyber. Les contrats restent remplis de chausse-trappes, il est primordial de bien lire son contrat et de toujours se placer dans la condition du pire : le RSSI et le service juridique doivent analyser ensemble le contrat dans le détail.»

Autre point d’attention, celui qui doit être accordé aux plafonds d’indemnisation fixés par le contrat. C’est notamment le cas du remboursement des pertes d’exploitation, qui peut être atteint très rapidement. C’est tout particulièrement le cas des grandes entreprises pour qui un plafond de 5 millions d’euros peut être enfoncé en quelques jours alors que la durée de remédiation d’une attaque de ransomware peut dépasser une à deux semaines…

Une différence de philosophie vis-à-vis des ransomware

Aux États-Unis, les assurances jouent un rôle clé dans les attaques de ransomware. Les cas sont rarement médiatisés mais l’assureur de la ville de Lake City, en Floride, a versé 42 bitcoins – soit 485000 $ à l’époque des faits – pour débloquer les serveurs de la ville. Aux États-Unis, il est d’usage qu’un assureur paie la rançon demandée. Selon l’enquête «The State of Ransomware 2020 » menée pour Sophos auprès de cinq mille managers IT, lorsqu’une entreprise dispose d’une assurance cybersécurité couvrant effectivement le cas des ransomwares, cette dernière règle la rançon dans 94% des cas… Cette pratique encourage-t-elle les attaquants? Pour la première moitié de 2020, les assureurs américains ont observé un accroissement de 260% des attaques de ransomware chez leurs souscripteurs et des montants de rançons en hausse de 47%… En France, officiellement, la doctrine défendue par l’Anssi, mais aussi par de nombreux acteurs de la cybersécurité, est de ne pas payer les rançons. De facto, les assureurs préfèrent fournir des moyens humains aux entreprises pour remédier à leurs incidents de sécurité, mais si le discours officiel des assureurs est aligné sur celui de l’Anssi, en pratique certains sont amenés à laisser leur client payer la rançon : « Les assureurs sont entre deux feux », explique Thibault Carré, directeur cybersécurité chez Inquest, filiale spécialisée dans le conseil en cybersécurité du groupe Stelliant, un prestataire qui travaille pour les compagnies d’assurance. « Officiellement, l’Anssi et les autorités demandent que les rançons ne soient jamais payées, mais malheureusement les entreprises peuvent être tentées de payer des rançons. Pour le patron de PME à qui l’on réclame 5 000 ou 10 000 euros et qu’il s’agit de la seule alternative pour ne pas mettre la clé sous la porte, le choix est vite fait. De même, un assureur pilote son risque et le montant des pertes d’exploitation peut augmenter très vite. Un calcul entre la perte quotidienne de chiffre d’affaires de l’entreprise et le prix de la rançon peut pousser rapidement à payer celle-ci, c’est mathématique ! Certains assureurs ne payent jamais, d’autres laissent la décision à leur client.«On a ainsi vu d’anciens policiers ou agents de renseignement se spécialiser dans la négociation avec les hackers. Ceux-ci évaluent le sérieux et les compétences réelles de l’assaillant, notamment sa capacité réelle à fournir les clés de déchiffrement. Le cas échéant, ils négocient une ristourne et font baisser la rançon de manière très significative.

Le rapport Hiscox 2019 sur la gestion des cyber risques pointe l’envol du nombre d’incidents de sécurité déclarés par les PME. Une illustration de la démocratisation des assurances Cyber. L’étude montre aussi une nette augmentation du coût de ces incidents avec une multiplication par 3 du montant en l’espace d’un an.

Vers un resserrement des conditions d’assurance ?

Toutes les sociétés de cybersécurité soulignent que l’assurance cyber est désormais très largement diffusée chez leurs clients. Aurélia Delfosse, explique l’essor rapide de ces assurances ces dernières années : « Pratiquement tous nos clients ont aujourd’hui une assurance cyber. C’est notamment le cas de beaucoup de sous-traitants à qui leur donneur d’ordre impose par contrat d’avoir une couverture du risque Cyber.» La spécialiste souligne que depuis cinq ans, les courtiers ont fait beaucoup d’efforts pour simplifier l’accès à ce type d’assurances.

Pour l’heure en France il n’y a pas eu de conflit ouvert entre un assuré et son assureur suite à une attaque de type Mondelez, mais Matthieu Bennasar, Chief Operation Officer chez Harmonie Technologie observe qu’en France, les premières déclarations de sinistre « ne sont réellement arrivées qu’à partir de 2014. En se basant sur les chiffres de l’un des trois plus gros acteurs du marché français, j’estime qu’on est actuellement à moins d’une centaine de sinistres déclarés par an. C’est très faible et je n’ai pas eu à ma connaissance de litiges entre assurés et assureurs sur une attaque cyber ».

Les assurances cyber ont connu un fort développement ces deux dernières années et les demandes d’indemnisation augmentent de manière exponentielle. Or pour gagner des parts de marché, les assureurs se sont souvent contentés de questionnaires excessivement simples pour évaluer le niveau de sécurité des PME, une tolérance qui s’est retournée contre eux en 2020. « Une année très chargée en termes d’incidents pour les assureurs et la vague d’attaques de ransomware leur a couté très cher», confie Thibault Carré, chez Inquest, « Le prix des polices va certainement augmenter et les assureurs vont renforcer les méthodes de souscription qu’ils avaient beaucoup allégées ces dernières années. Les questionnaires vont sans doute être renforcés et des audits du niveau de sécurité demandées régulièrement pour établir un scoring de la sécurité de l’entreprise dans la durée.»

Dans son étude du 1er semestre 2020 sur les demandes d’indemnisation auprès des assureurs américains, Coalition montre que le ransomware est la cause de 41% des demandes liées à la cybersécurité, loin devant les détournements de fonds ou la compromission d’e-mails.

Marie Waltisperger, fondatrice de Cyberpro’Assur

« L’assurance cyber s’inscrit dans une démarche plus globale de sécurité informatique et intervient pour couvrir le risque résiduel. Cela signifie notamment que certains préalables sont nécessaires et demandés pour couvrir une entreprise contre les menaces cyber. Si les premiers questionnaires de compagnies d’assurance étaient extrêmement détaillés et complexes, ils ont été simplifiés. Parmi les prérequis à la souscription d’un contrat cyber on trouve l’existence de sauvegardes hebdomadaires externalisées des données de l’entreprise, une évaluation du nombre et la nature des données sensibles collectées et détenues par l’entreprise – données personnelles, médicales, bancaires… –, la limitation des privilèges administrateurs et enfin l’utilisation et la mise à jour sur l’ensemble des dispositifs informatiques, des serveurs et réseaux de l’entreprise de logiciels anti-virus, anti-malware… En d’autres termes, il est désormais assez simple pour une entreprise de répondre à ces prérequis. »


Gérard Haas, avocat spécialiste en droit des nouvelles technologies

« Dans notre quotidien d’avocats spécialisés dans la cyber, nos clients nous demandent fréquemment de réaliser un audit de leur contrat d’assurance afin de vérifier leur couverture réelle du risque cyber. L’Autorité de contrôle prudentiel et de résolution, ou ACPR, a déjà signalé par le passé que beaucoup de compagnies d’assurance proposaient une garantie qui est en fait équivalente à celle de l’assurance responsabilité civile à l’égard des tiers (RCT) et ne couvraient pas de vrais risques cyber. Par exemple, les pertes d’exploitation, les coûts liés à la reconstruction des données sont déjà couverts par d’autres polices d’assurance. Les audits que nous menons montrent que les contrats apportent essentiellement un accompagnement avec des moyens que l’assureur met à la disposition de l’entreprise pendant la crise, avec des experts qu’elle recommande. »


Matthieu Bennasar, directeur des opérations chez Harmonie Technologie

« L’assurance est un bon moyen de transférer le risque à un assureur, notamment pour une PME, mais cette assurance ne doit pas non plus anesthésier l’entreprise vis-à-vis de la cybersécurité. Après la phase de diagnostic flash et la signature du contrat, l’assureur doit accompagner l’entreprise dans l’amélioration de son niveau de sécurité, dans une logique de prévention. Outre sa police d’assurance, l’assureur va apporter des services afin d’augmenter le niveau de maturité de son client et donc diminuer le niveau de risque. Avec certains de nos partenaires assureurs, nous fournissons un accès à la plate-forme Risk&Me sur laquelle les collaborateurs vont être sensibilisés aux enjeux de la cybersécurité, vont tester leur maturité vis-à-vis du RGPD et de la cybersécurité, etc. »


Thibault Carré, directeur cybersécurité chez Inquest, filiale de Stelliant

« Il est assez simple de faire jouer son assurance cyber en cas d’incident. Tous les assureurs français proposent un service d’assurance sur le modèle de l’assistance automobile. Un simple appel sur une hotline et nous enregistrons l’incident en 24/7 avec une prise en charge en 15/20 minutes, en moyenne. Nous assurons alors un rôle de chef d’orchestre avec les sujets techniques qui seront traités par nos experts internes. Nous avons développé une forte compétence sur le volet Forensic pour analyser les attaques mais aussi le recours à des cabinets d’avocats pour les points juridiques avancés et des cabinets spécialisés en communication de crise si cela s’avère nécessaire. Nous n’allons pas jusqu’à la phase de remédiation, souvent prise en charge en interne car l’entreprise et ses prestataires habituels connaissent mieux leur infrastructure. »