Allianz insiste : l’assurance cyber n’évite pas une sérieuse gestion des risques

Allianz vient de publier l’édition 2020 de son baromètre annuel des risques menaçant les entreprises à travers le monde, basé sur le sondage de 2 718 personnes dans une centaine de pays.

Et sans trop de surprise, au regard de l’actualité de l’année passée, le risque d’incident informatique se hisse aujourd’hui à la première place, devant les perturbations d’activité. Lors des deux années précédentes, il s’était contenté de la seconde, sauf en France où ce risque trônait déjà sur la première marche du podium pour l’édition 2019.

Dans ce baromètre, l’assurance relève le cas spécifique des rançongiciels : « une croissance significative du nombre d’incidents de ransomware aide à orienter à la hausse la fréquence des pertes pour les entreprises ». Surtout, pour Marek Stanislawski, directeur monde adjoint pour l’activité cyber d’AGCS, « les coûts des incidents cyber progressent partout, le fruit d’une complexité croissante, de régulations plus strictes, et des conséquences pénalisantes pour une entreprise de pertes de données ou de systèmes critiques ».

Et Marek Stanislawski de souligner en particulier l’évolution de la menace que représentent les ransomwares : « il y a cinq ans, une demande de rançon typique se comptait en dizaines de milliers de dollars. Aujourd’hui, elles peuvent atteindre des millions ».

Mais ce n’est pas tout : à la rançon s’ajoutent les pertes liées à la perturbation de l’activité. Ainsi, Allianz relève que ces perturbations constituent la source de la plus grosse part de pertes, sans compter que « dans certains cas, le rançongiciel est un écran de fumée, cachant la visée réelle, comme le vol de données personnelles ».

Mais il faut également compter avec les poursuites lancées à la suite de brèches, contre les entreprises victimes de celles-ci, des tiers affectés, ou encore par des régulateurs. Allianz ne manque d’ailleurs pas de souligner le risque supplémentaire induit par le règlement général de protection des données (RGPD) européen. Mais il n’oublie pas les actions en nom collectif outre-Atlantique.

Étonnamment, seuls 55 % des sondés estiment nécessaire d’identifier le risque cyber comme un composant à part entière de leur approche de la gestion du risque, et comme un risque métier clé. La seconde mesure préventive mise en avant par les sondés est la surveillance en continu de la sécurité des systèmes, avec notamment la gestion des vulnérabilités et le partage de renseignement sur les menaces. Mais elle ne reçoit que 52 % des suffrages. La formation régulière des collaborateurs, notamment face au hameçonnage, s’inscrit en troisième position, à 45 %. De quoi laisser à penser qu’il reste un chemin certain à parcourir pour atteindre un niveau de prise de conscience susceptible de véritablement changer la donne pour les assaillants.

En attendant, Marek Stanislawski insiste : « souscrire une assurance cyber devrait être l’un des derniers points du projet d’une entreprise pour améliorer sa résilience ». Et cela parce que si elle a « un rôle vital à jouer pour aider les entreprises à se relever, si toutes les autres mesures sont insuffisantes, [...] elle ne devrait pas remplacer une gestion stratégique du risque ».