Comme dans les autres pays, on constate en France une montée inquiétante de la cybercriminalité, qui qualifie toutes les infractions spécifiques aux technologies de l'information et de la communication, sous forme de vols d'informations confidentielles, d'infractions dans les systèmes, de rançons… Ces cyber risques, inhérents à la digitalisation des informations et au passage au numérique concernent toutes les entreprises, des plus petites aux plus imposantes : ainsi, 62% des entreprises utilisent le cloud pour le stockage de leurs données, et 70% des sociétés possèdent un site web.

Terrorisme informatique

Le monde des cyber risques est en pleine évolution. On observe désormais un véritable terrorisme informatique, en recherche de médiatisation, avec des utilisations frauduleuses de données ou des demandes de rançon, ciblant à la fois les entreprises et les organisations étatiques.  

En 2010, 20 millions de programmes malveillants ont été détectés, et 84 % des cyber-attaques ont eu des conséquences financières. L'assureur doit s'adapter à ces conséquences, en se concentrant non plus sur les dommages matériels mais sur un accompagnement global, essentiel pour les PME, car elles n'ont pas toutes la possibilité de réaliser des audits de vulnérabilité, et ne possèdent pas toutes des cellules de crise.

 L'importance de la réaction

La première action de l'assureur est la réaction. La très grande majorité des attaques s'arrêtent au seuil, mais l'assureur doit gérer celles qui iront plus loin. Si quelqu'un de malveillant parviendra toujours à entrer dans le système, il faut limiter le plus possible le nombre de portes d'entrées. Les conséquences, en particulier pour les PME peuvent être dramatiques, notamment dans leur capacité de rebondir après ces attaques. Le temps de réaction doit être extrêmement court, puisque tout se joue dans les quelques jours qui suivent l'attaque.

Si seulement 3% des attaques sont localisées en France, il est néanmoins nécessaire de travailler la gouvernance des entreprises afin d'anticiper et d'évaluer ces risques, et de les assurer convenablement, tant en termes de dommages classiques que de leurs effets sur la réputation, l'image ou la gestion de crise, afin de permettre à toutes les entreprises de rebondir après une cyber attaque.