Prise à la légère pendant un temps, la cybersécurité est désormais de plus en plus au centre des préoccupations. "Aujourd'hui, les entreprises du CAC 40 sont toutes équipées, mais désormais elles veulent que leurs fournisseurs le soient également", explique Franck Recoing, directeur associé de GSA, courtier d'assurances. "Une PME ou ETI qui travaille avec de très grandes entreprises mais n'a pas les mêmes exigences ou la même rigueur en matière de cybersécurité peut servir de porte d'entrée. Dans un tel cas, les grandes entreprises peuvent se retourner contre leur fournisseur", illustre Adrien Moranzoni, responsable risques cybersécurité et fraude chez GSA.

"Il faut être le plus prêcheur possible, tout le monde utilise internet et internet ne fait pas de distinction entre les tailles d'entreprises. Mais les grands groupes ont les moyens de se protéger, c'est à l'inverse plus difficile pour les plus petites sociétés où le dirigeant doit tout faire", ajoute-t-il. C'est sur ces profils que la prévention doit être réalisée selon lui. "C'est une question de perception, juge Adrien Moranzoni. L'assurance n'est pas obligatoire, donc les entreprises affectent leur budget sur autre chose". Une étude de la confédération des PME (CPME) publiée en janvier chiffre à 18 % le nombre d'entreprise de 50 salariés maximum couverte par une assurance. Toujours selon ce document, plus de 40 % des sociétés interrogées affirment avoir déjà subi une attaque ou une tentative. "Les pertes financières se chiffrent en millions d'euros et 60 % des entreprises perdant leurs données cessent leur activité dans les 6 mois qui suivent", affirmait Alain Di Crescenzo, 1er vice-président de CCI France, en septembre 2017.

Une offre d'assurance à adapter

Au-delà de la demande, le déficit d'assurance tient aussi du manque d'offre assure le think tank le club de juristes dans son rapport "Assurer le risque cyber" en janvier 2018. Car fournir une offre de protection adaptée est compliqué. "Le risque cyber est en continuelle mutation. Il évolue au rythme des technologies des systèmes informatiques et électroniques, mais aussi des capacités techniques des individus et des organisations dédiées à la cyber-malveillance. Autant de facteurs qui limitent la valeur prédictive des incidents passés", indique le document.

"Il faut estimer un premier risque que l'on ne connaît pas forcément. Ensuite, les montants se modifient en fonction des sinistres", reconnaît Franch Recoing. "Il faut enlever le cyber, c'est une attaque avant tout", défend Eric Filiol, directeur du laboratoire numérique et Sécurité de l'ESIEA. "Lors d'un détournement d'argent par usurpation d'identité, ce n'est pas une cyberattaque mais la préparation s'est faite en cyber", illustre-t-il. Une technique très répandue est "la fraude du président". Elle consiste pour le pirate à convaincre un employé d'effectuer un virement important à tiers, pour un motif en apparence légitime, sur un prétendu ordre d'un dirigeant. La cyberattaque concerne les données, mais pour ce qui est de l'argent il s'agit d'une fraude. "La fraude est plus régulière que la cyberattaque, mais les deux sujets sont très liés", abonde Adrien Moranzoni.

Un marché prometteur

Face à ce danger de plus en plus présent avec un impact potentiellement très important, le marché de la cyberassurance se développe à vitesse grand V. Fin 2018, le géant allemand de la réassurance Munich Ré le chiffrait à 3,5 milliards de dollars mais le voyait doubler en 2020 et atteindre 20 milliards de dollars en 2025. Pour l'instant, ce marché se concentre aux Etats-Unis. "C'est parce que c'est là-bas que les nouveaux risques apparaissent. En Europe, les acteurs anglosaxons sont très efficaces sur ce domaine et ils demandent à leurs partenaires continentaux d'être assurés donc cela se fait pas à pas", analyse Adrien Moranzoni. Preuve de l'importance du marché, les 515 millions d'euros que vient de dépenser Orange pour racheter SecureLink et ainsi devenir le leader européen de la cybersécurité en Europe.  La cybermenace n'est pas prête de s'arrêter. "Il y aura des sinistres", prévient Franck Recoing. Pour Eric Filiol, cela sera le cas "tant que l'Europe ne sera pas souveraine sur ce domaine. On ne peut pas se défendre avec des outils qui viennent de l'adversaire".

_________________

* Conférence tenue à l'initiative de Innovatech Conseil et de son préident fondateur Yves Martin Chave, spécialiste CIR et CII