Le coût de la cyberattaque mondiale est évalué à environ 400 milliards de dollars!

Peut-on estimer le coût des dégâts de ces cyberattaques?

Très difficile, annoncent les experts. D'une part, en raison du caractère massif et inédit des cyberattaques initiées depuis près d'une semaine - plus de 300.000 ordinateurs touchés dans 150 pays, selon de premières estimations - mais aussi car de nombreuses entreprises préfèrent taire le préjudice pour préserver leur crédibilité.

Sans compter le caractère dissimulé de certains actes, comme le vol de données, difficiles à déceler immédiatement mais dont les conséquences peuvent apparaître plusieurs semaines, voire plusieurs mois après.

L'attaque WannaCry "semble avoir touché plutôt des acteurs industriels, des PME et des particuliers, tous assez peu assurés contre le risque cyber", explique à l'AFP Didier Parsoire, responsable des "Cyber Solutions" du réassureur français Scor.

Plus généralement, le coût de la menace cyber est évalué mondialement à environ 400 milliards de dollars.

Le poids de la cybercriminalité représentait en moyenne en 2015 pour les Etats-Unis, l'Union européenne et la Chine environ 0,5% de leur Produit national brut, d'après une étude du cabinet de conseil PwC, publiée en janvier 2016.

Au Royaume-Uni, une étude gouvernementale menée auprès de 1.523 entreprises a établi que le coût moyen par entreprise des cyberattaques en 2016 avait oscillé entre 1.600 euros pour une petite structure et près de 23.000 euros pour une grande.

Les entreprises sont-elles suffisamment protégées?

En France, non, de l'avis de la plupart des spécialistes. Bien que sensibilisées au risque cyber, les entreprises ne s'imaginent pas être des cibles. Elles "restent assez peu matures sur le sujet et imparfaitement protégées: à peine la moitié sont capables de déceler des incidents", déplore auprès de l'AFP Pascal Trouchaud, associé chez PwC et spécialiste en cybersécurité.

La banque et l'assurance, très réglementés, ainsi que l'aéronautique et la défense, très espionnés, sont les secteurs les plus en pointe. A l'inverse, la distribution, qui dépense peu en sécurité, est à la traîne alors qu'elle "gère le plus de données bancaires", développe M. Trouchaud.

"A la fin 2016, un peu plus de la moitié des entreprises du CAC 40 avaient souscrit une police d'assurance cyber", mais, côté PME, cela "reste encore très limité", indique le réassureur Scor. D'après une étude IFOP/PwC datant de 2015, moins de 5% des entreprises françaises avaient déjà souscrit une assurance à l'époque.

Encore jeune, le marché de la cyber assurance représente environ 3 milliards de dollars de primes d'assurance mondiale et pourrait atteindre 10 milliards en 2020. En France, il est estimé à 300 millions d'euros.

Y compris aux Etats-Unis, marché précurseur, la souscription est modérée: près de 50% des entreprises de services les plus exposées (finances, santé, éducation, commerce) sont assurées contre 10 à 20% des sociétés industrielles, selon Scor.

Que couvre une cyber assurance?

Elle couvre les conséquences d'un événement informatique, sans dommage matériel, qu'il soit accidentel (erreur humaine) ou volontaire (cyberattaque, intrusion numérique, etc), explique la Fédération française de l'assurance (FFA) dans un guide en ligne dédié au cyber risque.

Elle peut aussi couvrir des frais de gestion de crise (en communication, préservation de la réputation, solutions pour endiguer l'attaque), d'enquête ou d'information des victimes de vol de données. Sans oublier les dommages matériels, parfois exclus des assurances classiques.

L'étendue de la responsabilité civile, couvrant les dommages occasionnés à un tiers, peut aussi varier.

Les cyber assurances vont certainement se développer. Car dès mai 2018, les entreprises traitant des données personnelles devront avertir leurs clients en cas de violation de leurs données tandis que les opérateurs de services essentiels et ceux du numérique devront notifier toute atteinte à leur système d'information.