Le développement effréné des Technologies de l’Information et de la Communication (TIC) a profondément bouleversé le fonctionnement de la société, de la vie sociale et culturelle à la vie économique de tous ses acteurs. Cette véritable révolution numérique est emmenée par l’avènement de multiples techniques utilisées dans le traitement et la transmission des informations, principalement l’informatique, les télécommunications et surtout internet. Conçu dans les années 1960 dans un contexte de guerre froide pour le compte du Département de la défense américain, il s’agissait alors de créer un réseau de télécommunication militaire, capable de fonctionner malgré des coupures de lignes ou la destruction de systèmes. Ce réseau de réseaux, permettant de relier des systèmes informatiques et des ordinateurs géographiquement distants, s’est progressivement développé depuis les Etats-Unis. En 1991, le Centre Européen de Recherche Nucléaire (CERN) rend le réseau internet accessible à tous en proposant le protocole HTTP(1), le langage HTML(2) et le Web(3) qui permettent de naviguer à travers différents réseaux. A partir de cette date, la technologie web du CERN devient un modèle mondial et les termes d’internet (réseau) et de web (la toile) se confondent.
Cette révolution numérique, nous la vivons au quotidien en tant que particuliers. Les mails ont remplacé les courriers, nos achats se font de plus en plus en ligne. Tout est disponible instantanément sur la toile : informations, produits, services. C’est un gain de temps énorme au quotidien. Depuis quelques années, ce sont de nouveaux codes et aussi de nouveaux mots qui sont entrés dans nos vies, dont un certain nombre commence par le préfixe « cyber ». Ce préfixe est issu du terme « cybernétique » qui désigne l’« ensemble des théories et des études sur les systèmes considérés sous l’angle de la commande et de la communication »(4). La cybernétique trouve des applications dans divers domaines : industrie, biologie et bien sûr l’informatique. Le mot cyber permet donc de désigner toute une série de choses, de faits ou d’actes liés aux TIC et plus particulièrement à internet. Par exemple, le « cyberespace », synonyme d’internet introduit dans le langage par l’auteur américain William Gibson dans son roman Neuromancien, est communément défini comme « un réseau universel de réseaux informatiques reliés entre eux par une même façon de communiquer »(5).
Les entreprises ont elles aussi pris possession du cyberespace, les TIC constituant pour elles un formidable vecteur de développement. En mars 2011, une étude McKinsey pour le Ministère de l’Economie et des Finances(6) a quantifié leur impact sur l’économie française. Il en ressort que « chaque euro investi dans ces technologies s’est traduit par deux euros de marge opérationnelle ». Les entreprises françaises mènent une révolution numérique touchant leurs processus, leur organisation et leur manière d’aborder leur marché. Un nouvel outil a ainsi fait son apparition au sein des entreprises : le système d’information (SI). Il peut être défini comme « un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné »(7). Il est ainsi devenu possible d’automatiser et de dématérialiser toutes les procédures d’entreprise. Ces moyens informatiques ont aujourd’hui largement remplacé le recours aux procédés classiques (support papier, téléphone, etc.) et tout est concrètement réalisé via les systèmes d’information. Il faut dire que les progrès induits par ces technologies sont conséquents : gains de temps, de réactivité et d’efficacité, notamment grâce à une plus grande capacité d’interaction entre les différents services de l’entreprise.
Outre ces économies, les nouvelles technologies sont aussi un incroyable vecteur d’expansion. Avec internet, la plus petite entreprise française peut disposer d’une vitrine sur le monde et conquérir des marchés à l’autre bout de la planète. Les échanges sont en effet extrêmement facilités dans un monde virtuel qui ne connaît pas de frontières.
Si ces évolutions sont incontestablement synonymes d’opportunités et de croissance pour les entreprises, elles génèrent également de nouveaux risques.
D’une manière générale, le risque se défini comme un « danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité »(8). Dans une approche assurantielle, le risque désigne un « événement aléatoire dont la réalisation ne dépend pas exclusivement de la volonté de l’assuré »(9).
Les cyber-risques, au sens large, sont donc les risques encourus par les entreprises du fait de l’utilisation des TIC et de leur présence dans le cyberespace. Plus précisément, nous citerons la définition donnée par M. Luc Vignancour(10), Directeur adjoint du département FINPRO – risques spéciaux chez Marsh(11) : « les cyber-risques sont les risques que supporte une entreprise suite à un usage inadéquat des systèmes d’informations ».
Ces risques sont encore mal connus, ce qui les rend d’autant plus redoutables.
En premier lieu, l’avènement d’internet a donné naissance à de nouvelles formes de délinquance, comme le piratage informatique ou hacking(12). On parle plus largement de cybercriminalité pour désigner toutes les infractions pouvant être commises via le cyberespace.
Si les particuliers sont touchés notamment par le vol de coordonnées bancaires ou encore victimes d’atteinte à leur vie privée via l’utilisation (parfois imprudente) des réseaux sociaux, les entreprises sont des cibles de choix pour les cybercriminels. En cause principalement, les données des entreprises, c’est-à-dire toutes les informations personnelles, commerciales ou stratégiques qu’elles détiennent à présent sous forme numérique. Ces données peuvent avoir une grande valeur et attiser les convoitises d’individus malhonnêtes. La menace est d’autant plus forte que les flux d’information et leur densité ne font qu’augmenter. Plus de données auraient été créées et stockées ces deux dernières années qu’il ne l’a jamais été dans l’histoire de l’humanité. En outre, il y aurait à ce jour environ 5 milliards d’appareils connectés et accessibles via internet (31 milliards en 2020)(13). Ce sont autant de vecteurs d’attaques.
Aucune entreprise n’échappe à cette menace, quelle que soit sa taille et son activité.
Selon une étude(14), 50% des attaques seraient dirigées vers les Petites et Moyennes Entreprises (PME), et 50% vers les grands groupes. Les géants ne sont donc pas épargnés, comme en témoignent les cyber-attaques largement relayées par les médias ces dernières années. On pense bien sûr à Sony, le géant japonais, victime d’une série de piratages en 2011. La première de ces attaques est considérée comme l’une des plus graves jamais perpétrées : des individus se sont en effet introduits dans le réseau de jeu en ligne de Sony, le PlayStation Network, et y ont dérobé les données de plus de 77 millions d’utilisateurs(15).
Le cas de Sony n’est pas isolé, d’autres ont défrayé la chronique ces dernières années comme les attaques de TJX(16), Nintendo(17), ou encore du Ministère de l’Économie et des Finances français(18). Mais ces affaires ultra médiatisées ne sont qu’une part de la réalité. Il faut bien voir que la plupart des incidents de ce type ne sont pas dévoilés. Les entreprises préfèrent garder le secret lorsqu’elles le peuvent, craignant pour leur image.
Selon l’étude de Pricewaterhouse Coopers menée dans 78 pays, 23% des entreprises auraient été victimes de cybercriminalité en 2011(19). Bien que la menace ne semble pas discriminatoire, certains secteurs sont plus touchés que d’autres. C’est notamment le cas du commerce en ligne, de la grande distribution et du commerce de détail, de l’hôtellerie et du transport, du secteur de la santé, ou encore des institutions financières(20).
Les Etats ont pris la mesure du phénomène et ont pour beaucoup durci leur législation. Mais manifestement ces initiatives individuelles ne suffisent pas ou se révèlent inadaptées, d’autant plus que la responsabilité des cybercriminels n’est pas la même d’un pays à l’autre. L’internationalité d’internet constitue en effet un obstacle de taille à une répression efficace. Une réelle coopération mondiale serait nécessaire, sur le plan de l’investigation comme de la législation.
Au-delà de la menace malveillante, l’utilisation et la gestion des infrastructures informatiques à elles seules peuvent être à risques pour de nombreuses raisons. D’abord, les systèmes d’information se doivent aujourd’hui d’être accessibles à tout moment et en tout lieu par les employés, les clients et autres partenaires commerciaux des entreprises. De nombreuses personnes interagissent en effet dans les systèmes d’information, l’environnement numérique est parfois très complexe et naturellement des erreurs et des mauvaises manipulations sont toujours possibles de la part des utilisateurs. En outre, des pannes ou dysfonctionnements techniques peuvent également survenir à chaque instant.
Or, la quasi-totalité des entreprises sont aujourd’hui dépendantes de ces technologies. Un incident mettant en cause le bon fonctionnement de leurs systèmes d’information et c’est la poursuite de leur activité qui peut être remise en cause.
Les conséquences des attaques subies par Sony en sont un bel exemple. Le premier incident d’avril 2011 avait obligé le géant de l’électronique à fermer le PlayStation Network et d’autres services pendant un mois, et aurait coûté, à lui seul, 1,4 milliards d’euro(21).
En outre, il y a des dégâts à long terme qu’il est difficile de mesurer. Ce qui est sûr, c’est que la réputation de Sony en a pâti. Les ventes de Playstation 3 en 2011 ont chuté, ce qui a affecté non seulement Sony mais également toute la ligne de production, notamment les fabricants de jeux.
Par ailleurs, du fait de la législation, d’autres impacts, et non des moindres, sont à craindre par les entreprises. Si les lois, d’une manière générale, doivent être respectées dans le cyberespace comme ailleurs, des législations plus spécifiques augmentent la contrainte. Les entreprises françaises doivent notamment respecter les dispositions de la loi Informatique et Libertés(22) en matière de protection des données personnelles.
En cas de manquement, elles s’exposent à des sanctions ainsi qu’aux réclamations des tiers lésés, ce qui peut avoir de lourdes conséquences financières.
Les entreprises mesurent peu à peu l’importance de ces menaces et s’inquiètent aujourd’hui des mesures de protection de leurs systèmes d’information.
Les assureurs ont bien compris l’importance des cyber-risques et du marché potentiel qui s’ouvrait à eux. A côté des assurances classiques, ils proposent depuis quelques années des polices entièrement dédiées à la couverture de ces risques. C’est le monde de l’assurance des entreprises tout entier qui se préoccupe de la question. En témoignent les nombreux ateliers organisés en la matière à l’occasion des quatre dernières rencontres de l’AMRAE(23). La dernière en date(24) nous a d’ailleurs inspiré le sujet de ce mémoire, au vu du nombre impressionnant de brochures commerciales sur les cyber-risques des assureurs représentés.
Face à l’engouement des assureurs, nous nous sommes interrogés sur la pertinence de ces nouvelles assurances spécifiques. Cette question en a impliqué bien d’autres : quelle est la nature exacte et l’importance des risques « cyber » pesant sur les entreprises françaises ? Dans quelle mesure ces dernières y sont-elles exposées ? Quels sont les impacts financiers ? Comment les gèrent-elles aujourd’hui ? L’assurance constitue-t-elle l’une des solutions ?
Nous verrons que les entreprises sont particulièrement vulnérables face aux cyber-risques et qu’une gestion à part entière de ces risques est devenue nécessaire (Partie 1) avant de faire l’analyse critique des solutions assurantielles actuellement proposées sur le marché en la matière, principalement dans le but d’évaluer l’apport réel des offres dédiées (Partie 2).
1 HyperText Transfer Protocol. Il s’agit d’un protocole pour la transmission des pages Web depuis un serveur vers un navigateur client. Source : glossaire.infowebmaster.fr
2 HyperText Markup Language, ce qui signifie en français “langage de balisage d’hypertexte” L’HTML est un langage informatique utilisé sur l’internet. Ce langage est utilisé pour créer des pages web.
Source : glossaire.infowebmaster.fr
3 Signifie littéralement « toile ». Le web désigne le réseau maillé formé par internet et le contenu multimédia qu’il comporte.
4 Dictionnaire Hachette encyclopédique, édition 2000
5 JABER (A.), Les infractions commises sur Internet, Editions L’Harmattan, 2009
6 McKinsey&Company, Impact d’Internet sur l’économie française – Comment Internet transforme notre pays, mars 2011
7 DE COURCY (R.), Les systèmes d’information en réadaptation, Québec, Réseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
8 Définition issue du site internet du Centre National de Ressources Textuelles et Lexicales (www.cnrtl.fr)
9 KULLMANN (J.), Lamy assurances, Editions Lamy, 2012, n°89, p 63
10 Interview téléphonique de M. VIGNANCOUR Luc, Directeur adjoint du département FINPRO – risques spéciaux chez Marsh, février 2013
11 Marsh France S.A.S., filiale de Marsh Inc., société du groupe Marsh & McLennan Companies. Il s’agit d’un courtier d’assurances.
12 De l’anglais to hack into, entrer par effraction.
13 GOSSE (J.), MAGNAN (A.), CHENUT (H.), BEAUME (F.), Cyber résilience : protéger ses données et celles de ses clients, 21ème Rencontres de l’Association pour le management des risques et des assurances des entreprises (AMRAE), Lyon, février 2013
14 Norton cybercrime report, 2012
15 LEJOUX (C.), La cyber-attaque sur PlayStation Network pourrait coûter très cher à Sony, Latribune.fr, publié le 28 avril 2011.
16 Lexpress.fr, Albert Gonzalez, un pirate informatique, écope de 20 ans de prison, publié le 29 mars 2010
17 LEJOUX (C.), Nintendo est à son tour victime d’une cyber-attaque, Latribune.fr, publié le 6 juin 2011
18 Lemonde.fr, Bercy victime d’une vaste opération de piratage informatique, publié le 7 mars 2011
19 PWC, Global Economic Crime Survey, 2011
20 GOSSE (J.), MAGNAN (A.), CHENUT (H.), BEAUME (F.), Cyber résilience : protéger ses données et celles de ses clients, 21ème Rencontres de l’Association pour le management des risques et des assurances des entreprises (AMRAE), Lyon, février 2013
21 LEJOUX (C.), La cyber-attaque sur PlayStation Network pourrait coûter très cher à Sony, Latribune.fr, publié le 28 avril 2011.
22 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
23 Association pour le management des risques et des assurances de l’entreprise
24 21e Rencontres AMRAE 2013, Lyon, 6, 7 et 8 février 2013
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance