A la fin du mois d'octobre de l'année 2021, selon l'ANSSI- Agence Nationale de Sécurité des Systèmes d'Information, il y a eu 192 attaques sur les systèmes informatiques des entreprises françaises cotées en bourse depuis 2019. Le nombre de cas non déclarés est bien sûr bien plus élevé : 87% de tous les groupes en France sont équipés d'une cyberassurance, mais seulement 8% de toutes les entreprises de taille moyenne. Lorsque les entreprises ont été victimes d'une attaque, une sur cinq a payé la rançon, selon le consultant " Wavestone " dans " Les Echos " du 28 octobre 2021.

Entre-temps, ce secteur est devenu plus lucratif que le trafic de drogue, dont les fonds finissent pourtant dans les mêmes canaux obscurs. La gendarmerie française veut recruter 3000 agents pour traquer la cybercriminalité. Une goutte d'eau dans l'océan, car les victimes reconnaissent à cette unité spéciale de l'Etat un excellent travail d'analyse, mais peu d'efficacité dans la lutte concrète et l'aide à la prévention. Car il s'agit le plus souvent de criminels qui ne travaillent pas dans le pays ... et qui restent donc impunis.

Chaque entreprise reste ainsi livrée à elle-même. Ainsi, seuls les frais de récupération des données dérobées, les solutions d'urgence dans des centres de données tiers et les frais de gestion de crise restent assurés. Les paiements de rançons sont assurés de manière de plus en plus restrictive.

L'assureur Axa a pris les devants et le marché suit le mouvement, à quelques exceptions près. Car la branche enregistre désormais des pertes. Les couvertures proposées jusqu'à présent étaient trop généreuses.

A court terme, chaque entrepreneur doit donc prévoir un plan de combinaison des risques : Mesures de sécurité de son propre système informatique - avec des moyens simples au départ, comme par exemple une meilleure gestion des mots de passe et des restrictions d'accès aux sites Internet pendant les heures de bureau sur le PC, l'i-Pad ou l'i-Phone de l'entreprise ; planification d'urgence pour le jour "X" où la boîte aux lettres électronique est morte ; acceptation des temps d'arrêt et couverture résiduelle au moyen d'une police d'assurance.

Dans tous les cas, il est judicieux de procéder à un examen des risques afin de déterminer si une assurance est possible, ce que l'on appelle le "galop d'essai".

A moyen terme, on appelle en France - mais pas seulement - à des solutions de pool, soutenues par l'Etat, via la CCR - Caisse Centrale de Réassurance - ou un véhicule de co-réassurance comme l'ASSURPOL, qui regroupe les sites français importants pour l'environnement. Toutefois, la discussion menée à l'occasion du COVID l'année dernière montre qu'il y aura encore de nombreux obstacles à franchir. Et en avril/mai 2022, il y aura des élections présidentielles en France.

Bref, jusqu'à la rentrée de septembre 2022, chacun devra rester le prochain.

Restez dans le coup avec Cabinet Fact.