Sa­voir iden­ti­fier les nou­veaux risques

10 juin 2021

Les cyberattaques relèvent des risques majeurs. Les victimes potentielles ne sont pas uniquement les grandes entreprises, loin s’en faut. Les assureurs aussi ont identifié ce problème depuis longtemps – et adapté leurs offres en conséquence.

Le côté obscur de la numérisation

Un chiffre qui donne à réfléchir : comme le révèle une enquête de l'institut de sondages et d'études de marché gfs-zürich, une PME sur quatre en Suisse a déjà été victime d'une cyberattaque. Il n'est donc pas étonnant que le secteur de l’assurance se penche sur cette question également. La Mobilière, par exemple, a ouvert un centre de compétences dédié aux cyberrisques, censé contribuer à la sensibilisation des entreprises aux dangers de l'Internet. Cela va des virus à la surcharge délibérée du réseau d’une entreprise en passant par le vol de données. « Les attaques se professionnalisent de plus en plus », explique Andreas Hölzli, responsable du centre de compétences pour la cybersécurité. D’après lui, le fait que les PME soient fréquemment touchées par des cyberattaques ne doit rien au hasard : « Les petites entreprises sont souvent moins bien protégées que les grandes » Ceci, soit parce qu'elles ne sont pas conscientes du danger, soit parce qu'elles n'ont tout simplement pas les moyens de mettre en place une cyberdéfense efficace. Ces entreprises sont des victimes toutes désignées pour les criminels : « En principe, chaque entreprise qui recourt à l'informatique et dispose d'une connexion Internet est exposée à ce risque », déclare Andreas Hölzli. « C'est précisément la raison pour laquelle nous nous efforçons d’élargir en permanence notre offre de produits et de développer des services de gestion des risques appropriés. » La Mobilière propose notamment à ses clients un service qui forme les employés à la maîtrise des cyberrisques et teste leurs réactions en procédant à des simulations de campagnes de filoutage (phishing).

Plus de progrès, plus de risques

La prévention est un facteur décisif dans la lutte contre la cybercriminalité. Head Cyber & Digital Solutions auprès du réassureur Swiss Re, Maya Bundt partage cet avis : « Souvent, la première chose à faire, c’est d’aider à la prise de conscience du risque. » Les cyberspécialistes de Swiss Re travaillent dans le monde entier à l’identification de nouvelles menaces. « Les cyberrisques relèvent du côté obscur de la numérisation », déclare Maya Bundt. « Plus les progrès technologiques sont substantiels, plus le risque dans ce domaine augmente également – et ce, à l'échelle mondiale. » Ce phénomène est également surveillé de près par le Centre national pour la cybersécurité (NCSC). « Ces dernières années, la cybersécurité a nettement gagné en importance à tous les niveaux », souligne Max Klaus, responsable adjoint de la cybersécurité opérationnelle. Certaines entreprises croient encore aujourd'hui qu'elles ne sont d’aucun intérêt pour les criminels, or c’est une grave erreur de jugement. « Chaque entreprise dispose de données intéressantes. Il peut s’agir d'informations sur les collaborateurs, de données financières ou de données sensibles sur les clients. Pour les pirates, la teneur des données concernées importe peu. Ce qui compte, c’est qu’elles aient une valeur économique ou émotionnelle pour la victime afin que cette dernière soit ainsi potentiellement prête à verser une rançon. » D’après lui, les cyberattaques reposent souvent sur des demandes de rançon. Elles consistent par exemple en l’introduction d’un cheval de Troie dans le réseau de l’entreprise, lequel procède au cryptage des données et ne les libère qu'en échange d'une rançon. En présence de telles revendications, la recommandation du NCSC est claire : ne pas céder ! « Il n'y a aucune garantie que vous puissiez récupérer les données une fois la rançon payée », prévient Max Klaus. Il faut au contraire signaler cette attaque à la police.

« En principe, chaque entreprise qui recourt à l'informatique et dispose d'une connexion Internet est exposée à ce risque. »

Cyberassurances pour les entreprises

Si, en dépit de toutes les précautions, une cyberattaque réussit, la plupart des compagnies d'assurances offrent désormais de bonnes couvertures. Selon Andreas Hölzli, ces prestations peuvent être réparties en trois domaines : dommage propres, dommages aux tiers et protection juridique. Les assureurs proposent par exemple une indemnisation en cas de perte de données ou d'interruption des activités. En outre, les assureurs conseillent leurs clients en matière d'évaluation des cyberrisques et d’identification de leurs vulnérabilités potentielles. « Souvent, il suffit d’une bonne protection de base pour empêcher une attaque », souligne Andreas Hölzli de la Mobilière. Une chose est sûre : la dynamique et la complexité croissante des cyberrisques continueront de donner du fil à retordre aux assureurs. « À l’heure actuelle, nous assistons à une véritable course aux armements de la part des attaquants comme des défenseurs », affirme ce dernier.

Remarque : Les cyberattaques peuvent être enregistrées et signalées au moyen du formulaire de déclaration du Centre national pour la cybersécurité.

La matrice des risques de l’ASA thématise les risques majeurs et leurs conséquences

 La crise du coronavirus l’a clairement démontré : lorsque survient un événement auquel la société n’est pas suffisamment préparée, cela peut avoir de graves conséquences. Ce qui vaut pour les pandémies s’applique aussi à d’autres risques. En juin 2020, l’ASA a décidé d’élaborer une matrice des risques sectoriels pour chaque événement auquel la branche est exposée et qui ne fait pas partie des risques contractuellement assurés. Il s’agit de faciliter ainsi l’identification précoce des risques et la définition des réponses à leur apporter. Pour la période d’occurrence des événements, l’ASA a défini trois catégories : court terme (occurrence en l'espace d'un an), moyen terme (occurrence en l'espace d'un à trois ans) et long terme (occurrence après trois ans). Le potentiel de dommages a été classé en faible, moyen et élevé, sachant que l’exposition des différentes compagnies ainsi que celle des (sous-)secteurs ont été prises en compte. Il s’avère que chaque catégorie comporte des risques fondamentaux susceptibles de peser sur l’assurance. Les « pandémies » et les « cyberattaques » ont été identifiées parmi les principaux risques majeurs. En s’appuyant sur les retours de ses différents comités, l’ASA entend renforcer à l’avenir sa contribution à une compréhension commune en mettant en évidence et en classant les risques émergents transversaux. Cela inclut également le développement de mesures d'atténuation (échange d'informations, augmentation de la résilience) et – si nécessaire – une coordination active lors de la mise en œuvre de celles-ci.