Selon la plupart des baromètres des risques, la menace cyber est perçue comme le risque dominant pour les entreprises devant ceux liés à la pandémie, au ralentissement de l’économie ou au manque de compétence. Si la prise de conscience du danger constitue un signal encourageant pour le développement de l’assurance cyber, le nombre d’acteurs ayant signalé des attaques et la gravité de celles-ci est en constante augmentation.

Le marché de l’assurance cyber reste très largement dominé par les grandes entreprises (plus de 80% du volume de primes cyber en France avoisine les 325 millions d’euros au total), suivies des entreprises de taille intermédiaire, le taux de pénétration pour les plus petites entreprises restant quant à lui très faible. Et pourtant le risque cyber touche tous les secteurs, toutes les tailles d’entreprises. Et l’intermédiation d’assurances n’en est pas exempte, avec des cyberattaques parmi des acteurs reconnus comme le Groupe April ou le groupe familial Adelaïde, propriétaire de Verlingue.

En 2022 en France, 1 entreprise sur 2 a été victime d’une attaque1, 2 entreprises attaquées sur 5 ont subi un détournement de paiement.

Le rançonnage en hausse de 35%

Les cybercriminels, qui ont longtemps visé les grandes sociétés, s’attaquent désormais à des cibles plus modestes. Alors que les premières ont fortement investi dans les mesures de défense, les secondes ont eu tendance, dans un contexte économique tendu, à réduire leurs coûts y compris informatiques, devenant une cible privilégiée.

Depuis le développement du télétravail, accentué par la crise sanitaire, les serveurs hébergés dans le cloud sont désormais la première porte d’entrée des cyberattaques, suivis de près par les emails professionnels.

Le rançonnage (ransomware), technique d’attaque consistant à infiltrer un système informatique et à y installer un logiciel malveillant qui chiffre les données les rendant inutilisables (avant leur déblocage au moyen du paiement d’une rançon), a connu ces dernières années un développement sans précédent. Le nombre d’organisations victimes a augmenté de 35% dans le monde en 2022, la France et l’Allemagne concentrant 45% des attaques dans les pays membres de l’UE2. En 2022, on estime à 2,8 milliards d’euros le montant des pertes de chiffres d’affaires cumulées pour les entreprises françaises.

Un risque de réaction en chaîne, du cyber à la fraude

Le rançonnage est une technique utilisée par un grand nombre de cybercriminels allant du hacker isolé au  « hacker d’Etat », en passant par des groupes très organisés aux motivations principalement financières. Les cybercriminels développent constamment de nouvelles stratégies allant du service d’abonnement à des kits élaborés par des développeurs de rançongiciel et mis à disposition contre rémunération à des hackers en herbe (RaaS : Ransomware as a Service), à la double extorsion (un chiffrage des données suivi d’une menace de publication).

La majorité des données volées et diffusées sur le darkweb à la suite d’une attaque de rançonnage ne sont pas des données commerciales mais des données personnelles des collaborateurs, clients, fournisseurs… Ces données (issues notamment de bulletin de salaire, carte d’identité, attestions de Sécurité sociale) sont alors utilisées pour mener d’autres attaques (usurpation d’identité, arnaque au faux président, hameçonnage…).

Dès 2019, CGPA a inclus dans tous ses contrats et sans questionnaire, une garantie Cyber pour tous ses assurés, sans augmentation de cotisation. Depuis le 1er janvier 2023, une garantie Fraude a été ajoutée, pour tenir compte du risque grandissant d’instructions frauduleuses qui menace les intermédiaires au regard de la nature de leur activité professionnelle et de la réalité « du terrain ».

Des situations de crises gérées par des experts

Les sinistres suivants ayant impliqué la mobilisation de la garantie Cyber de CGPA illustrent l’étendue du spectre des risques cyber :

  • Attaque informatique subie résultant en une impossibilité pour l’intermédiaire d’avoir accès à certaines de ses données car elles ont été cryptées, parmi lesquelles des données à caractère personnel. Les hackers demandent une rançon contre laquelle ils indiquent rétablir les données.
  • Attaque par déni de service (DDos : Distributed Denial of Service), de multiples requêtes ont été envoyées simultanément sur le site internet de l’intermédiaire, rendant ainsi l’application incapable de répondre aux sollicitations de ses utilisateurs (prospects, clients).

Nos sociétaires ont pu, dans chacune de ces attaques, bénéficier de l’assistance d’experts pour gérer ces situations de crise : prestataires techniques pour le rétablissement des systèmes d’information, reconstitution des données ou encore cabinets d’avocats pour réaliser les démarches réglementaires obligatoires auprès de la CNIL. Les conséquences de l’attaque cyber ont été rapidement gérées et minimisées.

Une entreprise sur 5 ayant subi une attaque a déclaré que sa solvabilité a été menacée3

Dans le cas des instructions frauduleuses, les escrocs établissent des scénarios vraisemblables qui, sans une attention accrue à l’émetteur des messages ou au caractère légèrement inhabituel de la situation, peuvent entraîner un règlement de sommes non dues, comme dans les exemples suivants :

  • Un intermédiaire reçoit un sms demandant de valider un achat à l’aide d’un code. Le sms précise que dans l’hypothèse où il ne serait pas à l’origine de cet achat, il devra contacter un numéro déterminé. Il s’inquiète, appelle le numéro de téléphone indiqué et transmet des informations sur son compte bancaire pour « bloquer toute transaction frauduleuse». Plusieurs virements frauduleux sont alors initiés depuis le compte bancaire de l’intermédiaire qui, malgré les démarches réalisées a posteriori, ne parviendra pas à recouvrer les fonds auprès de son établissement bancaire.
  • Dans le cadre de sa délégation de gestion de sinistre, un intermédiaire échange avec son client en vue de l’indemnisation d’un sinistre. Il reçoit alors un e-mail (prétendument) de son client qui lui précise ses nouvelles coordonnées bancaires. Il suit les instructions considérées, ne s’apercevant pas que l’adresse e-mail de l’expéditeur contient une lettre supplémentaire et qu’il s’agit en réalité d’un hacker utilisant un nom de domaine très similaire à celui du client.

Dans ces deux cas, CGPA a indemnisé les pertes financières directement subies par l’intermédiaire, conformément aux conditions de sa garantie.

Même si la couverture de ces risques reste la priorité pour les entreprises, l’information et la prévention représentent un enjeu et une nécessité. L’hameçonnage, qui progresse en tant que principal vecteur d’attaque, évolue à l’aune du développement de nouveaux outils. Il apparait indispensable de former les collaborateurs aux typologies d’attaques, qu’elles relèvent de la fraude ou du cyber et de tester leurs réflexes lors de mises en situation.

Cyberattaque et dépôt de plainte

Depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) conditionne la couverture assurantielle d’une atteinte aux systèmes d’information et/ou aux données causée par une cyberattaque à un dépôt de plainte dans les 72 heures suivant la connaissance de cette atteinte. Ainsi, les victimes d’attaques cyber ont désormais l’obligation de déposer une plainte afin de préserver leurs droits à indemnisation au titre de leur contrat d’assurance. Cette obligation a été retranscrite à l’article L.12-10-1 du Code des assurances qui est d’ordre public.

Cette obligation de dépôt de plainte concerne les personnes physiques et morales victimes de cyberattaques dans le cadre de leur activité professionnelle. Le dépôt de plainte s’effectue dès la découverte des dommages causés par un incident de cybersécurité.

  1. Baromètre Cesin 2022
  2. Baromètre ANOZR WAY du Ransomware – 5ème édition
  3. Rapport Hiscox 2022