Une atteinte au système d’information, notamment une indisponibilité de celui-ci, ou même une atteinte aux données de l’entreprise, peuvent causer indirectement une perte de chiffre d’affaires.
La perte de chiffre d’affaires due à un incident de sécurité est potentiellement l’un des dommages les plus importants pour l’entreprise. En terme assurantiel, il s’agit de la perte d’exploitation, c’est-à-dire la perte de marge brute subie par l’entreprise. Elle se calcule en appliquant le taux de marge brute à la différence entre le chiffre d’affaires qui aurait été réalisé en l’absence de sinistre, et le chiffre d’affaires effectivement réalisé par l’entreprise pendant la période considérée.
Cette perte de résultats peut s’expliquer notamment par une perte de clientèle suite à la divulgation de l’événement. Nous évoquions plus haut les impacts néfastes de ce type d’incident sur la réputation d’une entreprise et corrélativement la nécessité pour les entreprises d’adopter une communication bien étudiée pour ne pas aggraver la situation. Mais il est clair que l’image de l’entreprise ne sortira pas indemne, tout comme son portefeuille. Car ce sont en effet les conséquences commerciales de l’atteinte à la réputation qui sont les plus inquiétantes. Des clients et des partenaires commerciaux pourraient perdre confiance dans l’entreprise et s’en détourner. Cela peut également dissuader des clients potentiels de recourir aux services de l’entreprise. Des contrats en cours de négociation peuvent finalement ne pas être conclus, les cocontractants doutant de la fiabilité de l’entreprise. C’est particulièrement le cas, lorsque des données personnelles ou confidentielles ont été atteintes, et ce même lorsque l’entreprise n’a rien à se reprocher. L’étude du Ponemon Institute(132) révèle que le taux d’attrition des clients en France suite à une atteinte aux données est le plus élevé des neuf pays audités. Ce taux s’élève à 4,4% en moyenne, mais il peut être bien plus important pour les institutions financières et les prestataires de services notamment.
Selon cette même étude, les coûts relevant des pertes d’activités ou de contrats (perte de clients, difficulté à en acquérir de nouveaux ou problème de réputation) ont fortement augmenté. Ils sont en effet passés de 0,78 millions d’euro en moyenne en 2011 à 1,19 millions en 2012.
La perte de chiffre d’affaires peut également être générée par le dysfonctionnement voire l’indisponibilité totale du système d’information de l’entreprise causé par l’incident de sécurité. Si cet état a duré un certain temps et que l’entreprise n’était pas en mesure d’engager des frais pour maintenir son niveau d’activité, les répercussions financières peuvent être énormes.
A titre d’exemple, en 2008 les systèmes informatiques d’une chaîne de magasins d’ameublement ont été infectés par le virus Conficker. Cet incident a provoqué un ralentissement du réseau et une indisponibilité partielle des systèmes d’information de l’entreprise pendant plusieurs jours. Les caisses des magasins, français notamment, sont restées bloquées pendant plusieurs jours. Le préjudice financier s’est élevé à 1,4 millions d’euro dont 400 000 euro de frais d’expertise et de réparation des éléments endommagés, et surtout une perte d’exploitation évaluée à 1 million d’euro(133).
Les cyber-risques, de par la diversité de leur origine et l’importance de leurs conséquences financières, constituent donc une réelle menace pour les entreprises. Ces dernières en prennent peu à peu conscience. Une étude récente révèle que plus de trois entreprises interrogées sur quatre estiment que les questions de sécurité informatique sont devenues une problématique plus significative au cours des trois dernières années(134).
En avoir conscience est une chose, évaluer concrètement et établir une véritable politique de gestion des cyber-risques constitue un pas supplémentaire que beaucoup d’entreprises n’ont pas encore franchi, pensant sans doute que les cybercriminels ne s’attaquent qu’aux autres ou encore qu’elles sont suffisamment protégées. Des mesures simples peuvent contribuer à réduire certains de ces risques : renforcement des mesures de sécurité techniques, sensibilisation des salariés, nomination d’un responsable de la sécurité informatique capable d’évaluer les risques et de les traiter, mise en place d’un plan de gestion de crise afin d’être réactif en cas de survenance d’un incident. L’établissement de ces mesures nécessite l’affectation de ressources aussi bien financières qu’humaines, décision qui ne peut émaner que de la direction. C’est en effet aux dirigeants de l’entreprise de se saisir de la problématique des cyber-risques et de donner les moyens à leur entreprise de les gérer réellement.
Or, si la quasi-totalité des entreprises françaises de plus de 200 salariés disposerait aujourd’hui d’une « équipe sécurité » dédiée, seules 63 % d’entre elles auraient formalisé un plan de sécurité de l’information(135).
De plus, selon une étude mondiale menée auprès d’entreprises de toutes tailles et provenant de secteurs diverses(136), l’implication de la direction est généralement insuffisante. La fréquence d’information de la direction sur les problèmes rencontrés en matière de sécurité et de confidentialité des données seraient seulement trimestrielle, pour la majorité des entreprises interrogées (58%). Pour seulement 17% d’entre elles, ces informations sont transmises aux dirigeants une fois par mois.
Cette étude révèle également que 20% des sociétés disent avoir un budget sécurité insuffisant ou inadéquat.
La prévention est essentielle et permet, comme pour les risques traditionnels tels que l’incendie, le vol ou la responsabilité civile, de réduire sensiblement les cyber-risques. Mais il faut garder à l’esprit que le risque zéro n’existe pas. Même si l’entreprise est à la pointe de la protection logicielle, et qu’elle est d’une manière générale attentive à la sécurité de son système d’information, les cyber-risques ne peuvent pas être totalement écartés.
Les cybercriminels ont toujours une longueur d’avance, des erreurs humaines ou des défaillances du système pourront toujours survenir. En outre, les conséquences financières en cas d’incident peuvent impacter lourdement le bilan voire mettre en péril la santé financière de l’entreprise. Et leur tendance est à l’augmentation. Cet état de fait doit être intégré par les entreprises dans leur politique de gestion des cyber-risques.
Selon leur exposition, certaines pourront choisir de conserver ces risques à leur charge, en constituant peut-être des provisions dédiées. C’est une stratégie qui peut s’avérer périlleuse, car il est très difficile de mesurer à l’avance les impacts que peut avoir une atteinte à la sécurité du système d’information sur l’économie d’une entreprise, tant les formes et les conséquences de ces atteintes sont variées. De plus, cette technique nécessite d’immobiliser des fonds, contrairement à l’assurance.
C’est pourquoi l’opportunité d’un transfert de risques auprès d’un assureur doit être étudiée par les entreprises. L’assurance est en effet une solution de traitement financier des risques d’une manière générale, permettant aux entreprises de protéger leurs actifs et à laquelle elles recourent aujourd’hui massivement. L’assurance est définie juridiquement comme « la convention par laquelle, en contrepartie d’une prime, l’assureur s’engage à garantir le souscripteur en cas de réalisation d’un risque aléatoire prévu au contrat »(137). L’assurance a naturellement un coût, mais elle est en principe gage de sécurité et de pérennité de l’entreprise.
Il s’agit donc potentiellement d’une option pour les entreprises désireuses de limiter les conséquences financières des incidents de sécurité informatique. Et cette option est bien réelle aujourd’hui puisque des solutions d’assurance existent effectivement en la matière. Les assureurs ont en effet bien mesuré le marché qui s’ouvre à eux et des polices d’assurance entièrement dédiées à ces risques fleurissent actuellement sur le marché français, directement inspirées de celles qui existent depuis une dizaine d’années aux Etats-Unis. Dans le cadre de notre analyse des possibilités d’assurance actuelles, ces offres seront bien sûr incontournables et leur développement récent a d’ailleurs inspiré cette étude.
L’objectif est plus largement de déterminer l’intérêt pour les entreprises d’un transfert de risques auprès d’un assureur en matière de sécurité informatique, et cela passe par une analyse critique des solutions assurantielles actuelles.
132 Ponemon Institute, 2013 Cost of Data Breach Study : France, mai 2013
133 Source : brochure commerciale assureur
134 Harvard Business Review Analytic Services, Meeting the Cyber Risk Challenge, 2013
135 CLUSIF, Menaces informatiques et pratiques de sécurité en France, juin 2012
136 Harvard Business Review Analytic Services, Meeting the Cyber Risk Challenge, 2013)
137 LAMBERT-FAIVRE (Y.), LEVENEUR (L.), Droit des assurances, Précis Dalloz, 13ème édition
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance