Si la cybercriminalité était un pays, elle serait la troisième économie du monde après les Etats-Unis et la Chine. Les dommages causés par la cybercriminalité mondiale cette année s'élèvent à un montant inimaginable de 8000 milliards de dollars. C'est du moins l'estimation de l'entreprise américaine d'études de marché Cybersecurity Ventures. Ce montant devrait continuer à augmenter d'environ 15% par an.
Qui doit payer ces sommes colossales? Qui peut le faire? C'est là que le secteur des assurances entre en jeu. De plus en plus de fournisseurs vendent des cyberassurances aux entreprises et aux particuliers. En Suisse, de nombreux assureurs se sont déjà lancés: Swiss Life (via des entreprises partenaires), AXA, Helvetia, Zurich, Baloise, La Mobilière, Allianz et Generali ont tous au moins une offre, soit pour les entreprises, soit pour les particuliers. Aucun assureur n'a communiqué le nombre de cyberpolices qu'il a souscrites.
Le secteur perçoit des affaires lucratives sur un marché en pleine croissance. Mais en même temps, les assureurs sont confrontés à des risques qui sont difficilement calculables et qui peuvent facilement échapper à tout contrôle. Apparemment, les assureurs ont sous-estimé le nombre d'attaques ces dernières années. Selon l'association professionnelle allemande, les cyberpolices ont généré des pertes en 2022. En d'autres termes, les frais de sinistre et d'administration ont été plus élevés que les primes encaissées.
En Suisse aussi, les cyberassurances ne sont pas vraiment un business rentable pour le moment. Gabor Jaimes, qui est notamment responsable du domaine des cyberassurances à l'Association Suisse d'Assurances (ASA), déclare à la Schweiz am Wochenende:
Selon l'ampleur d'une cyberattaque, les dommages potentiels sont si importants qu'ils menaceraient également l'existence des assureurs. Si un grand prestataire de services ou un fournisseur de cloud comme Microsoft est touché, cela se répercute en très peu de temps sur des dizaines de milliers, voire des millions d'entreprises.
En outre, les cyber-risques ne cessent d'augmenter avec le progrès technique: avec l'intelligence artificielle, les attaques deviennent plus sophistiquées, et avec les ordinateurs quantiques, les pirates pourraient un jour utiliser d'énormes capacités de calcul. C'est pourquoi l'industrie doit être «très prudente», selon le cyber-expert.
Selon Jaimes, ils peuvent par exemple limiter le nombre d'assurés ou les dommages couverts. Actuellement, le marché manque en partie de capacités d'assurance. Une diversification de la clientèle et des secteurs réduirait également la probabilité que tous soient touchés en même temps par une attaque.
Malgré les risques, l'expert de l'ASA voit aussi de grandes opportunités pour la branche et pour la place économique suisse. Selon les enquêtes de l'association, à peine une entreprise suisse sur dix est assurée contre les cyber-attaques. «Il y a encore beaucoup de marge de progression», affirme Jaimes. L'assurance protège les entreprises d'une «éventuelle ruine financière» due à une attaque de pirates informatiques.
Souvent, la police d'assurance ne couvre pas seulement un dommage, mais comprend également un soutien aux entreprises dans la gestion de crise, par exemple pour la restauration des systèmes, la communication ou les questions juridiques. La conclusion d'une police et les prestations sont toutefois souvent liées à des conditions: les entreprises doivent ainsi remplir certaines normes de sécurité et présenter des mesures de protection pour que l'assurance paie.
Jaimes part également du principe qu'à l'avenir, davantage d'entreprises voudront s'assurer contre les cybermenaces. Il ne peut certes pas donner d'estimation pour la Suisse. Mais selon des prévisions globales, Jaimes s'attend à ce que le volume des primes des cyberassurances double d'ici 2025 et quadruple d'ici 2030. Une évolution similaire peut être observée dans l'UE, en Angleterre et aux Etats-Unis. Dans ce contexte, la Suisse doit rester dans la course: «Un haut degré de cybersécurité et de résilience est un grand avantage pour la place économique».
Mais les cyberassurances favorisent-elles vraiment la résistance numérique, ou contribuent-elles même à financer les activités criminelles? Cette question fait l'objet d'un débat controversé. Car actuellement, des groupes de pirates informatiques comme Play font de bonnes affaires avec les attaques de ransomware. Les données sont volées et cryptées. Les pirates exigent ensuite une rançon pour décrypter les données ou pour empêcher leur publication sur le Darknet.
De nombreuses assurances proposent désormais une option qui inclut même le paiement de la rançon dans certains cas: par exemple, Allianz, AXA, Helvetia, la Baloise et la Mobilière, comme le confirment les assurances interrogées par la Schweiz am Wochenende. Des voix critiques reprochent à cette option de faire des entreprises assurées des cibles attrayantes et d'entraîner une augmentation des paiements, qui seraient à leur tour utilisées pour des activités criminelles.
A cela, l'expert de l'ASA, Gabor Jaimes répond: «Je comprends que le paiement d'une rançon incite quelque peu à revenir à la charge». Il faut donc, selon lui, veiller à n'envisager un paiement qu'en tout dernier recours pour sauver une entreprise. Ainsi, Helvetia et AXA indiquent qu'elles n'ont encore jamais versé de rançon. L'Allianz, la Baloise et la Mobilière n'ont donné aucune information à ce sujet. L'assurance Zurich n'a pas réagi à la demande.
Contrairement aux Etats-Unis, le paiement de rançons n'est pas fondamentalement interdit dans notre pays. Néanmoins, diverses questions juridiques se posent. Les fonds sont généralement demandés en crypto-monnaies. Comme les entreprises sont conscientes que les fonds sont versés à une organisation criminelle, il existe un risque de conflit avec les lois sur le financement du terrorisme et le blanchiment d'argent.
Traduit et adapté par Nicolas Varin
