Nous évoquions dans un précédent article la problématique du risque cyber, soulignant notamment son coût élevé – pour les grandes sociétés comme les PME – et la méconnaissance dont il fait l’objet au sein des entreprises. Les pertes financières peuvent être multiples : amendes, enquêtes techniques, actions de relations publiques, sécurisation post-intrusion, frais de justice éventuels. Outre les diminutions de trésorerie et CA, ces attaques cyber se traduisent également par une hausse du cout des assurances : suite à la recrudescence de menaces de type « ransomware », les cyber-assurances ont en effet enregistré des pertes importantes au cours des dernières années.
D’après la société Beyond Trust, le montant moyen des rançons demandés aux entreprises est passé de 115 000 dollars en 2019 à 570 000 dollars au premier trimestre 2021. Le prix du risk management en entreprise s’envole donc, les assureurs adaptant les primes à l’ampleur de la menace. Selon le courtier Willis Towers Watson, « La hausse des primes, pour les grands comptes sans sinistre préalable, est comprise entre 50 et 150% sur un an. Et bien au-delà, quand l’entreprise a déjà subi une cyberattaque ». Pour les PME, la hausse oscille entre 20 et 50%, le courtier Marsh enregistrant pour sa part une hausse moyenne située autour des 40 à 45%… Certaines compagnies d’assurance ont même fait le choix du désengagement, Generali et Axa ne garantissant plus les rançons payées par les entreprises suites aux cyberattaques.
Les compétences du directeur administratif et financier (DAF) lui permettent ici de déterminer si une assurance spécifique est nécessaire, et de choisir le contrat adapté à ses clients.
Le pilotage financier de l’entreprise doit permettre la sécurisation de sa trésorerie et de son patrimoine en général. L’action du directeur administratif et financier consiste donc à fournir aux sociétés les outils nécessaires à leur protection face aux risque cyber, incluant bien sûr une police d’assurance adaptée. Le DAF externe va notamment accompagner l’entreprise dans la mise en place des mesures de cyber sécurité qui correspondent aux conditions des assureurs. Il doit également s’assurer que le budget consacré au risk management s’adapte aux besoins de la société : selon de nombreux experts en cybersécurité, la correcte gestion de ce risque nécessite 5 à 10 % du budget informatique.
Là encore l’action du DAF passe en premier lieu par la réalisation d’un audit nécessaire à l’évaluation du risque cyber, en tenant compte des spécificités de l’entreprise et de son activité. Après avoir établi une cartographie des risques – qui sera transmise à la direction – le DAF pourra mettre en place d’éventuelles actions correctives et adapter les process internes de l’entreprise à la réalité du risque cyber. Souscrire une assurance contre ces risques peut permettre de compléter les couvertures traditionnelles en matière de dommages, pertes (frais de reconstitution des données) et responsabilités, et de débloquer les sommes nécessaires au redémarrage de l’activité dans les plus brefs délais. L’expertise du DAF externe lui permet ici d’agir comme intermédiaire auprès des assureurs, et de négocier la signature d’un contrat d’assurance à même de protéger efficacement le patrimoine social de ses clients