Le coût des incidents de sécurité, vu par les assureurs

En octobre 2012, Art Coviello, président exécutif de RSA, invitait à la circonspection : « je prends toujours les chiffres de la cybercriminalité avec beaucoup de prudence », indiquait-il dans un entretien avec la rédaction. Et deux ans n’ont manifestement pas suffit à clore le débat sur le coût des incidents de sécurité.

Ainsi, selon le Ponemon Institute, le coût annuel moyen de la cybercriminalité supporté par les entreprises serait de l’ordre de 7,6 M$ par an. A l’échelle de l’échantillon étudié, les coûts oscillent de 500 000 $ à 61 M$ par an, le coût par individu était multiplié par trois dans les PME par rapport aux grandes organisations (1 607 $ par personne, contre 437 $).

Adoptant le point de vue des assureurs, NetDiligence dresse un tableau bien différent. L’indemnisation moyenne apparaît ainsi de l’ordre de 733 000 $ toutes tailles d’entreprises confondues – contre 2,9 M$ pour les grands groupes –, pour un maximum de 6,5 M$ et un minimum de… 600 $. Pour son étude, NetDiligence se base sur 117 demandes d’indemnisation formulées l’an passé, pour des incidents survenus entre 2011 et 2013.

Alors comment expliquer de tels écarts ? Tout d’abord, l’étude de NetDiligence ne concerne que les entreprises ayant une forme de couverture assurantielle du risque informatique. Ensuite, le niveau d’indemnisation qu’une organisation peut attendre de son assurance varie sensiblement en fonction de son contrat, mais également de sa posture de sécurité.

Home Depot a récemment donné un début d’illustration, estimant qu’environ un tiers des 43 M$ déjà dépensés pour faire face à l’intrusion dont il a été victime pourrait lui être remboursé. Début septembre, le groupe estimait ses coûts à 62 M$ et le montant couvert par ses assurances, à 27 M$.

Autant les deux perspectives paraissent difficiles à réconcilier et les chiffres de la cybercriminalité, d’autant plus sujets à caution.