Cybersécurité : l’importance de l’analyse de couverture assurantielle par l’exemple

Au printemps, lorsqu’il a été frappé par un ransomware, Norsk Hydro a indiqué disposer d’une assurance pour couvrir le risque cyber. La même mésaventure est arrivée à Altran un peu plus tôt. Quelques mois plus tard, à l’occasion de la publication de ses résultats du premier trimestre 2019, l’ESN produisait une estimation de coût de l’incident entre 16 et 18 M€, entre inactivité d’ingénieurs et efforts de remédiation. Mais Altran l’assurait : « l’impact net sur le résultat d’exploitation annuel du groupe devrait être marginal du fait de l’activation de nos polices d’assurance ».

Le 30 juin dernier, Altran a légèrement revu à la hausse le coût de l’attaque, à 19 M€ pour le seul premier semestre. Et d’indiquer au passage que « certains coûts de remédiation seront encore encourus et comptabilisés au cours du second semestre ». Toutefois, selon l’ESN, « ces coûts sont estimés marginaux au second semestre ».

Au moment de la publication de ses résultats semestriels, Altran avait dû se contenter du versement, par son assureur, d’un « acompte d’un montant de 3 M€ sur la base de l’analyse préliminaire des dommages et à titre d’anticipation partielle de l’intégralité de la compensation ». Mais l’ESN ajoutait « s’attendre à percevoir d’autres remboursements d’assurance d’ici la fin de l’année 2019 ». Apparemment sereine, elle continuait d’anticiper un « impact net sur le résultat opérationnel du groupe pour l’ensemble de l’année », certes « négatif », mais « marginal, du fait de l’activation des polices d’assurances ».

De son côté, Norsk Hydro apparaît moins confiant. Les résultats du troisième trimestre de son exercice fiscal, tout juste publiés, font d’abord ressortir une incertitude persistante quant au coût de l’attaque : ils sont aujourd’hui estimés entre 54 et 64 M€ au premier semestre. Et si l’industriel revendique « une cyber-assurance robuste » contractée auprès « d’assureurs reconnus », pour l’heure, il n’en a reçu qu’un peu plus de 3 M€. Prudent, il continue d’indiquer qu’il ne tiendra compte de toute indemnisation prochaine qu’une fois qu’elle sera considérée comme « virtuellement certaine ».

L’an dernier déjà, les cas DLA Piper et Mondelez soulignaient l’importance du type d’assurance : tous deux avaient été victimes de NotPetya en 2017, et tous deux étaient en conflit avec leur assureur, contestant les exclusions invoquées.

Quoi qu’il en soit, ces incidents poussent à la souscription de contrats d’assurance cyber. La ville de Baltimore vient d’ailleurs d’en signer deux pour obtenir une couverture totale de 20 M$. Elle avait été victime d’une attaque par rançongiciel au printemps dernier. Elle lui aurait coûté un peu plus de 18 M$. Au total, la ville va verser 835 000 $ chaque année à ses assureurs pour ces nouvelles polices. La franchise s’élève tout de même à 1 M$.

L’intérêt pour les contrats d’assurance spécialisés apparaît d’autant plus compréhensible que la distribution de ransomware est de plus en plus ciblée. L’assurance AIG le soulignait encore début septembre. Et dans le même temps, les attaques se font plus nombreuses. Beazley fait ainsi état d’une augmentation de 37 % du nombre d’incidents rapportés au troisième trimestre, par rapport au trimestre précédent. Et encore, comme le soulignait une étude de l’Icasa en juin, les incidents cyber restent largement sous-rapportés.