Publié

S'assurer contre le cyber-risque devient plus difficile et plus cher

Avec la multiplication des cyberattaques dans le monde, la demande pour s’assurer contre les risques informatiques explose, le montant des primes avec
Avec la multiplication des cyberattaques dans le monde, la demande pour s’assurer contre les risques informatiques explose, le montant des primes avec / 19h30 / 2 min. / le 6 décembre 2021
Les cyberattaques se multiplient en Suisse, poussant de plus en plus d'entreprises à s'assurer contre le cyber-risque. Mais avec la hausse des attaques informatiques, les primes prennent l'ascenseur et les assureurs se montrent de plus en plus exigeants.

Les attaques informatiques n'épargnent personne. Swatch Group, Comparis, Stadler Rail, Siegfried, Huber+Suhner ou encore des EMS et des communes (Rolle, Montreux). Il y en a eu tant en Suisse ces derniers mois qu'il devient difficile d'en faire l'inventaire. Selon Digitalswitzerland, 36% des entreprises interrogées disent avoir été touchées par des cyberattaques en 2021, contre 25% l'an dernier.

Le télétravail généralisé depuis le début de la pandémie a fragilisé les systèmes de sécurité informatique et les nombreuses attaques réussies ont mis au jour la vulnérabilité de la protection de nos systèmes. Conséquence, les demandes de couvertures d'assurances cyber-risque explosent et les primes prennent l'ascenseur. "Selon le secteur d'activité et selon la taille de l'entreprise, il y a des augmentations de 50%, voire davantage, au moment du renouvellement des contrats d'assurance", affirme Stéphanie Pierret, courtière en assurances chez B.C.D.T. & Associés SA.

Hausse de 50%

"La première règle de cybersécurité, c'est de ne pas en parler". Voilà la réponse que nous avons obtenue des nombreuses sollicitations de témoignage d'assurés contre le cyber-risque. Le sujet est sensible et frôle le tabou. En affichant publiquement son assurance, les entreprises craignent d'attirer l'attention des hackers. Dire qu'on en a pas dévoilerait sa fragilité.

Michel R.* dirige une petite société de gestion de fortune à Genève. Assuré contre le cyber-risque depuis bientôt cinq ans, il ne cache pas sa surprise en voyant le renouvellement de son contrat: "Notre assurance coûtait environ 20'000 francs. Aujourd'hui, elle a grimpé à 40'000 francs".

A la tête d'une centaine d'employés et de plusieurs milliards sous gestion, ce patron doit veiller à la protection des données de ses clients, et à leurs avoirs. Alors quelle que soit la hausse aujourd'hui, il l'accepte. "Cette somme reste marginale vis-à-vis du risque de voir notre système bloqué, ou des fraudes informatiques. Quand je vois le professionnalisme des attaques, il n'y a plus aucune société au monde qui peut se targuer de résister à 100%. Je ne sais pas comment une entreprise peut se passer d'une telle assurance."

L'ampleur des sinistres

Une attaque informatique peut coûter plusieurs millions de francs à une entreprise. En fonction de la taille et de la durée d'une attaque, il faut parfois plusieurs mois pour s'en remettre. Certains ne s'en relèvent jamais, comme l'entreprise Swisswindows. Mal protégée et sans assurance cyber-risque, elle a fait faillite en 2020, après une attaque au rançongiciel.

>> Relire : La cybercriminalité génère des milliards et pousse des sociétés vers la faillite

Des situations comme celles-ci ont affolé de nombreuses entreprises. "Il y a vraiment un boom des contrats de cyberassurance cette année", confirme Stéphanie Pierret. Mais ne s'assure pas qui veut. Si les assurances ont fait preuve de laxisme durant des années pour remplir leur porte-feuille de clients, les conditions d'acceptation se sont durcies face à l'ampleur des dommages.

La courtière genevoise en assurances suit le marché des cyberassurances depuis plusieurs années. "Il y a environ 5 ans, beaucoup d'assureurs sont entrés de manière très agressive dans ce nouveau marché. Mais avec l'augmentation des cyberattaques et des demandes de rançon, ils ont dû payer beaucoup de sinistres. Certains se sont même déjà retirés du marché". Parmi eux, AIG ou Liberty. Cette dernière assurance dit "reconnaître que Cyber est une exposition au risque très importante. Nous révisons actuellement notre offre en Suisse".

Des conditions plus restrictives

Alors que la demande augmente, l'offre se rétracte. Chez Allianz, on dit rejeter environ trois demandes sur quatre. "De nos jours, ça peut être difficile pour une entreprise de s'assurer. Il faut avoir déjà de bons systèmes de sécurité mis en place. Les questionnaires d'assurance ont toujours existé, mais il y avait auparavant une plus grande tolérance lorsque la sécurité n'était pas optimale", souligne Stéphanie Pierret.

"Dans le système bancaire, la réglementation est déjà très forte. Malgré cela, nous avons dû expliquer à notre assurance en long, en large et en travers, les mesures prises pour pouvoir nous couvrir", appuie Michel R.

De leur côté, les assureurs déplorent le fait que beaucoup d'entreprises sous-estiment encore la menace: "Nous continuons de remarquer parmi les PME une tendance à se croire trop petites ou trop insignifiantes pour être ciblées par les cybercriminels. Au vu du développement des rançongiciels, ce paramètre est alarmant", note Allianz Global Corporate & Specialty (AGCS), qui assure les grands comptes.

Le porte-parole de Zurich Assurances David Schaffner précise quant à lui que le succès d'une attaque repose le plus souvent sur le comportement imprudent des employés. "Les attaques sont le plus souvent menées via les e-mail, les pare-feux non mis à jour, les formulaires de contact sur des sites internet, le WLAN d'une entreprise mal protégé ou des mots de passe non sécurisés".

*Nom connu de la rédaction

Feriel Mestiri

Publié