"Les attaquants cherchent toujours de nouvelles astuces"
La cybersécurité devient de plus en plus importante pour les entreprises - mais peu d'entreprises suisses sont assurées contre les cyberattaques. Gabor Jaimes, de l'Association Suisse d'Assurances, explique les défis auxquels les entreprises et les assureurs doivent faire face.
Seules sept pour cent des entreprises suisses sont assurées contre les cyber-risques. A quoi cela est-il dû ?
Gabor Jaimes : Les cyber-risques font partie des risques majeurs qui peuvent représenter des dommages immenses pour l'économie et la société. Comme pour la pandémie, les cyber-attaques peuvent avoir des conséquences non seulement locales, mais aussi suprarégionales et mondiales. Alors que l'assurabilité des cyberrisques est en principe assurée sur le marché suisse dans certaines limites, certains scénarios - notamment ceux de nature systémique - dépassent les capacités des assureurs. Ces derniers jouent un rôle central dans la prévention et la réduction des risques de cyberdommages, mais aussi en tant que transmetteurs de connaissances entre le secteur privé, les autorités et les clients, afin de renforcer la cyber-résilience.
Le taux actuel de sept pour cent n'est qu'un instantané, car le secteur de la cyberassurance est en pleine croissance. Mais bien sûr, il faut toujours un certain temps pour que les nouveaux produits pénètrent le marché. Souvent, toutes les entreprises ne sont pas conscientes des risques. Les petites entreprises en particulier peuvent ne pas savoir quelles sont les solutions disponibles ou peuvent se dire : "Je suis une petite boulangerie, pourquoi devrais-je être attaqué ?".
En faisant des recherches, je suis tombé sur l'indication selon laquelle la demande de cyberassurance est nettement plus importante que le nombre de souscriptions. Pouvez-vous le confirmer ? Quelles en sont les raisons ?
Malgré une forte demande, seul un petit nombre de demandes aboutit à des conclusions, selon nos membres. Cela pourrait s'expliquer par le fait que les clients contactent différents fournisseurs et ne se décident ensuite que pour une seule conclusion. Une autre raison pourrait être que certains clients ne comprennent pas suffisamment la question ou n'ont pas de budget pour le faire actuellement. Les chiffres montrent toutefois que les polices et les volumes de primes ont doublé au cours des deux dernières années.
Pensez-vous que les entreprises sont suffisamment informées des possibilités et des limites de la cyberassurance ?
Le paysage des entreprises en Suisse est très hétérogène. Certaines entreprises, notamment les plus grandes, qui disposent également de leurs propres services informatiques, sont souvent bien informées et sensibilisées. Les assureurs s'efforcent d'atteindre d'autres clients par le biais de matériel d'information, mais il y a certainement un groupe plus important qui n'est pas conscient des possibilités. En collaboration avec l'Office fédéral de la cybersécurité, nous menons une campagne d'information afin de sensibiliser davantage le marché.
De quels risques parle-t-on exactement quand on parle de cyber-risques ?
Le risque le plus important est certainement le phishing. Les escrocs envoient des SMS ou des e-mails vous invitant à effectuer un paiement. Cela n'arrive pas seulement aux particuliers, mais aussi aux entreprises. Si l'on ouvre un tel e-mail sans réfléchir, des virus peuvent se propager dans le réseau de l'entreprise et permettre aux pirates d'y accéder. Cela peut d'ailleurs aussi se produire physiquement, lorsque des personnes non autorisées accèdent à des locaux, déguisées par exemple en équipe de nettoyage, et tentent ainsi de se connecter aux systèmes. Le fait que le trafic postal diminue constamment et soit remplacé par la communication numérique crée des surfaces d'attaque supplémentaires.
Comment l'assurabilité des cyber-risques a-t-elle évolué au cours des dernières années ?
L'assurabilité des cyber-risques s'est améliorée ces dernières années, car les assureurs et les entreprises de sécurité informatique agissent de manière proactive contre ces menaces. Une entreprise de taille moyenne est certainement attaquée des dizaines, voire des centaines de fois par jour, mais avec des mesures de sécurité actuelles comme un pare-feu et des mises à jour régulières, il est possible d'en repousser jusqu'à 99,9 %. Pourtant, les pirates cherchent toujours de nouvelles astuces. On pourrait en quelque sorte parler d'un jeu du chat et de la souris. Les assureurs sont naturellement prudents. Si une entreprise ne prend pas de précautions, elle n'est pas assurable. Les assureurs aident les entreprises à définir les mesures à prendre, comme par exemple la sécurité des données et la formation des collaborateurs.
Quels sont les risques difficiles à assurer aujourd'hui ? Que peuvent faire les entreprises dans ce domaine ?
Ici aussi, cela dépend fortement du type d'entreprise. Les exigences posées à une entreprise qui travaille avec des données hautement sensibles sont certainement différentes de celles posées à un salon de coiffure, par exemple. Il existe également des programmes de certification tels que cyber-safe.ch, qui peuvent aider les entreprises à remplir les exigences minimales et à rendre transparent pour les assureurs le fait qu'elles sont correctement protégées. Les entreprises qui ne prennent aucune précaution doivent bien sûr s'améliorer avant de pouvoir s'assurer, par exemple en formant leurs collaborateurs et en procédant à des mises à jour techniques.
La perception des risques numériques a-t-elle évolué au cours des dernières années, notamment en ce qui concerne leur assurabilité ?
Oui, la perception des risques numériques a définitivement changé au cours des dernières années. Les entreprises reconnaissent de plus en plus l'importance de la cybersécurité et sont conscientes que la cyberassurance est un élément important de leur gestion des risques. Plusieurs attaques de grande envergure, comme celles contre la NZZ ou contre Xplain, ont non seulement montré la vulnérabilité de la société, mais aussi les coûts qui y sont liés. Le secteur de l'assurance réagit à cette menace croissante en adaptant ses polices et ses services en conséquence et en aidant les clients à prévenir et à gérer les risques numériques.
Quels sont les défis liés à l'identification des dommages causés par les risques numériques et comment mieux les gérer ?
Les dommages numériques ne sont pas toujours visibles immédiatement. Ce n'est pas comme un arbre qui tombe sur une maison à la suite d'une tempête. Les dommages numériques doivent faire l'objet d'un examen médico-légal et il faut voir si l'on trouve un logiciel malveillant. Selon le degré de sophistication de l'attaque, cela peut ressembler à un travail de détective. Une entreprise devrait donc réagir immédiatement en cas d'irrégularités, car c'est la seule façon d'endiguer et de stopper les logiciels malveillants avant que les sauvegardes ne soient contaminées ou que les dommages ne s'étendent aux clients et aux fournisseurs, par exemple.
