Plus d’un mois après le bug de Windows, l’heure des comptes a sonné. Les estimations des pertes subies par de nombreuses entreprises varient de 5 à 10 milliards de dollars. Mais seuls 10 à 20 % seront couverts par les polices d’assurance cyber.
Rappel des faits
Cela fait des années que France Assureurs, la Fédération des assureurs de France, place les cyberattaques comme la menace principale qui pèse sur le monde de l’assurance.
Mais ce qui s’est passé le vendredi 19 juillet 2024 n’était pas une cyberattaque. C’est une simple mise à jour défectueuse d’un antivirus de l’américain CrowdStrile. Elle a mis à terre des milliers d’entreprises dépendant de Windows.
Avions cloués au sol, hôpitaux à l’arrêt, chaînes de télévision qui n’émettent plus… Ces clients professionnels de Microsoft se souviendront longtemps de ce vendredi noir… ou plutôt de cet écran bleu bloquant leurs activités.
D’autant que de nombreux actionnaires de CrowdStrike ont décidé de déposer plainte contre ses dirigeants. Il semble que ces derniers aient sciemment diffusé cette mise à jour non fiable de leur logiciel de sécurité. Rappelons que ce manque de transparence sur les résultats de test de ces logiciels aura paralysé 8 millions d’ordinateurs équipés de Windows dans le monde.
Les premières estimations parlent de 5 à 10 milliards de pertes assurées.
Quels dédommagements attendus de la part des assureurs ?
Le PDG de Delta Airlines chiffre à un demi-milliard de dollars ses pertes en cinq jours, après l’incident CrowdStrike. Près de 4 000 vols sont restés cloués au sol.
L’assureur Parametrix chiffre à 5,4 milliards de dollars le coût pour les entreprises du classement Fortune 500, avant de faire jouer les assurances.
Et ce n’est sûrement pas les termes des contrats de licence logicielle de CrowStrike qui vont obliger cette entreprise à dédommager de manière significative ses clients. La lecture de son End User Licence Agreement ne laisse pas beaucoup d’espoir de ce côté.
Le problème est que cet incident n’est ni une cyberattaque, ni un dommage matériel. Or, dans la majeur partie des cas, les dommages aux données, donc des dommages immatériels, ne sont pas couverts par les contrats dommages type multirisques entreprises.
De même, une grande partie des contrats d’assurance cyber exclue les bugs et les erreurs des faits générateurs de dédommagement. C’est pourquoi certains assureurs proposent, en complément, d’étendre la couverture de l’assuré aux faits générateurs de bugs et erreurs. Cela permet alors de faire jouer la garantie en cas d’erreur d’un collaborateur ou d’un prestataire, hors cyberattaque.
D’après Parametrix, il ne faudra pas compter voir plus de 10 à 20 % des pertes couvertes par les polices d’assurance cyber. Ces contrats fixent souvent comme limites de garantie des montants assez faibles, comparés aux pertes potentielles d’une panne.
Mais même si on se limite à 1 milliard de dollars le montant pris en charge par les assureurs cyber, cela représente déjà 20 % des primes d’assurance cyber collectées aux Etats-Unis.
Des risques systémiques à réévaluer chez les assureurs
La numérisation des entreprises à marche forcée, le recours en pleine expansion à l’Intelligence artificielle, l’usage permanent du cloud computing… Ce sont autant de nouveaux défis auxquels les assureurs doivent faire face.
Cette dépendance vis-à-vis d’algorithmes de décisions rarement bien maîtrisés entraînent des risques opérationnels encore méconnus. Et ce saut dans l’inconnu, les assureurs le craignent plus que tout. En effet leur métier est justement la gestion du risque et sa prévision, aujourd‘hui et demain.
Pour répondre à ces nouveaux besoins, le marché de l’assurance cyber va devoir innover. Il va falloir inventer de nouveaux produits couvrant mieux les risques émergents.
Le bug de Windows démontrent, par exemple, clairement l’obligation à l’avenir d’inclure explicitement dans les contrats les pannes, bugs et erreurs. Même conséquence pour la couverture des dommages immatériels, au-delà des cyberattaques habituelles.
Cette adaptation des contrats d’assurance cyber doit aussi prévoir à l’avenir la couverture des pertes financières suite à une panne systémique. Et cela même si cela doit engendrer un ajustement des primes et des limites de garantie.
Améliorer la résilience des entreprises
De leur côté, les entreprises vont devoir réévaluer leur résilience en cas de pannes de fournisseurs. Même obligation pour leur capacité à maintenir leurs activités. Il est aujourd’hui vital que les organisations réfléchissent et mettent en place rapidement un plan efficace de réponse à incident.
Cela inclut des procédures détaillées pour détecter et analyser les incidents, prévenir et bloquer les compromissions de données.
Et cela passe évidemment par une lecture attentive de leurs contrats d’assurance, notamment sur la durée de l’interruption d’activité couverte, les délais de carence prévus et les événements garantis.
Dans ce paysage numérique de plus en plus complexe, la collaboration entre entreprises et assureurs doit donc se renforcer. Il est urgent d'améliorer les réponses aux risques cyber émergents.
Pour ce dialogue constructif, les entreprises peuvent compter sur le Groupe Gesco Assurances. Ce courtier en assurance indépendant dispose en effet d’une véritable expertise depuis 1976.
Ses conseillers sont à votre disposition pour analyser vos besoins et trouver avec vous le contrat d’assurance répondant au mieux de vos intérêts.