L’équation est assez simple: les entreprises mettent un temps fou à considérer sérieusement le cyberrisque et s’exposent à des dommages voire à une interruption de leur activité au fur et à mesure que les cyberattaques se multiplient; si les assureurs ne sont pas rassurés sur le dispositif et s’ils n’ont pas assez de clients, ils ne peuvent pas couvrir cette charge. Et s’ils ne peuvent pas couvrir ce risque, de plus en plus d’entreprises, surtout si elles sont petites, devront mettre la clé sous la porte.

Que peut faire le politique à part créer le cadre nécessaire au développement de cette assurance? Rien. C’est comme ça qu’il faut comprendre le message de Bruno Le Maire, le ministre français de l’Économie, début septembre, au grand dam des experts en cybersécurité qui alertent qu’annoncer rembourser les cyberrançons, c’est inviter les entreprises à payer et donc les cybercriminels à attaquer encore plus, à un moment où le cybercrime n’est plus seulement le fait d’organisations russes, chinoises ou iraniennes, mais de hackers opportunistes qui trouvent les outils dont ils ont besoin en ligne, le Ransomware as a service…

3,1% des primes professionnelles en France

, le marché de l’assurance du cyberrisque est inférieur à 220 millions d’euros – soit 3,1% des primes payées par les entreprises ou 0,35% du chiffre d’affaires des assurances de biens et responsabilité

Difficile d’établir la réalité du phénomène à moins de tâtonner: cet été, la présidente de la Banque centrale européenne, Christine Lagarde, a bien failli répondre à un faux SMS de l’ancienne chancelière allemande, Angela Merkel; le fonds souverain norvégien fait l’objet de 100.000 attaques par an, dont trois sont jugées sérieuses chaque jour;, mais les PME sont elles aussi touchées: selon le baromètre publié au début de l’été par l’assureur Hiscox, portant sur huit pays (dont les trois voisins du Luxembourg mais pas ce dernier), l’addition se monte à 6.000 milliards de dollars l’an dernier.

De 9.000 à 19.000 euros par attaque

La difficulté est par exemple très bien mise en lumière dans les écarts statistiques. Pour Hiscox, 48% des entreprises ont été attaquées l’an dernier, ce qui leur a causé un surcoût de 9.000 euros en Belgique, 15.000 en France et 19.000 en Allemagne. Pour la gendarmerie française, le coût moyen en France atteint 6.375 euros, soit deux fois moins…

Car loin des spectaculaires attaques, comme celle qui a frappé le groupe Encevo au Luxembourg, les hackers «cagnottent» comme des écureuils en frappant de plus en plus de PME, quitte à ne recevoir que de petites rançons. Car les deux tiers des PME paient, surtout en Belgique (74%), qui devance la France (62%) et l’Allemagne (48%). En France, 84% des entreprises sont assurées contre moins de 0,3% des PME, selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae).

Et au Luxembourg? Il n’existe visiblement aucune statistique digne de ce nom. «La prise de conscience du risque lié aux cyberattaques ne semble pas avoir atteint pleinement les sociétés», commente un courtier. «Même après avoir vécu une attaque, les entreprises semblent faire confiance à leurs informaticiens et leurs logiciels. Ce type de produit n’est pas encore entré dans les mœurs. Pourtant, les cyberattaques coûtent bien plus cher qu’une prime d’assurance», conclut-il.

Foyer, un peu seul

Il n’existe aucune interdiction de lancer une assurance-rançon ni même une recommandation selon le régulateur. «La problématique de paiement des rançons, qu’il s’agisse de celles versées par la victime en cas de kidnapping ou dans d’autres cas comme en matière de cybercriminalité n’est pas en débat au Luxembourg et les polices K&R existent depuis fort longtemps. Cette couverture est aujourd’hui offerte en cas de cyberattaque également», assure la Banque de France, qui s’est penchée sur la question en janvier. «La garantie permettant le remboursement de la victime en cas de cyberattaque n’est pas perçue comme encourageant les actes illégaux immoraux ou contraires à l’ordre public. Un débat existe cependant sur le point de savoir si le remboursement de la rançon par l’assureur doit être en soi traité comme nécessitant une déclaration de soupçon dans le cadre des mesures de lutte contre le terrorisme/lutte contre le blanchiment.»

Sur , Foyer retient quatre chiffres: 42% des PME et des indépendants ont déjà subi des menaces, 100% des applications mobiles contiennent au moins une vulnérabilité, plus d’une entreprise sur deux a déjà fait l’objet d’un vol de données sensibles ou de piratage de son système de paiement et 57% des violations de données sont le fruit de la négligence d’un employé. L’offre couvre: l’ensemble des frais pour l’enquête et pour remédier à la menace, les pertes de marge brute, les frais engagés pour continuer l’activité, les frais mis à charge de l’assuré par les opérateurs de carte bancaire, les frais d’enquête à charge de l’assuré par la CNPD (Commission nationale pour la protection des données), les réclamations des tiers lésés (usagers et/ou banques), les frais engagés pour reconstruire la réputation et la responsabilité civile.

L’assureur luxembourgeois, qui n’est pas le seul sur le marché même s’il est le plus visible, renvoie vers qui permet de savoir où en est l’entreprise en matière de maturité sur le risque cyber. Un outil qui a été utilisé moins de 250 fois en un an au Luxembourg.

Pourtant, les conséquences vont bien au-delà de l’attaque elle-même et sont de plus en plus problématiques: l’attaque fait augmenter les frais de notification à ses clients (30%), a un impact sur l’image de marque et la réputation (27%) et se traduit par une perte de clientèle (22%), impact d’ailleurs aussi souvent cité que la difficulté à attirer de nouveaux clients ensuite (22%), selon .