Cyberrisques: cinq enseignements de l’Allianz 
Risk Barometer que les décideurs devraient méditer

Un cyberincident n’est pas nécessairement un piratage retentissant. L’envoi de données confidentielles à un concurrent par un collaborateur insatisfait ou une simple erreur de manipulation peuvent occasionner des interruptions d’exploitation ou des dommages de réputation. L’Allianz Risk Barometer 2017 révèle l’importance croissante des cyberrisques pour les entreprises. Voici cinq enseignements que les décideurs devraient méditer.

Pour la cinquième fois consécutive, les décideurs estiment que les interruptions d’exploitation sont le principal risque entrepreneurial (37% des personnes interrogées dans le monde). L’importance des cyberrisques croît cependant rapidement année après année, puisque 30% des participants les considèrent désormais comme un grand danger. En 2013, les cyberrisques occupaient la 15e place avec seulement 6% des réponses. Un an plus tard, ils étaient déjà huitièmes du classement. En 2015, ils affichaient la croissance la plus élevée et atteignaient la cinquième position. Même s’ils n’ont pas progressé cette année, un seul point de pourcentage les sépare à présent du deuxième risque majeur: les évolutions du marché. Selon les personnes interrogées en Grande-Bretagne et en Allemagne, les cyberrisques constituent déjà la principale menace pour les entreprises.

Les personnes interrogées pensent que les cyberrisques gagneront en importance, puisque 42% les citent parmi les principaux risques éventuels des dix prochaines années. Suivent les risques liés aux nouvelles technologies (40%) et aux évolutions du marché (33%). Les entreprises redoutent surtout la complexité croissante des cyberattaques en raison de la numérisation grandissante (45% des participants).

Souvent, les cyberrisques déclenchent d’autres menaces dans les entreprises, comme des interruptions d’exploitation tant redoutées. Selon les personnes interrogées, les cyberincidents sont la quatrième cause possible d’un arrêt de la production, après l’incendie/les explosions, les catastrophes naturelles et la défaillance d’un fournisseur. Dans l’ensemble, 29% des décideurs les considèrent comme la cause probable d’une interruption d’exploitation. «Un lien de cause à effet a pu être établi ultérieurement entre de nombreux cyberincidents récents et une interruption d’exploitation», précise Volker Münch, Global Practice Group Leader, Property Underwriting, AGCS, en commentant les résultats de l’enquête. D’après les participants, les cyberincidents seraient également à l’origine de 50% des dix principaux risques à l’échelle mondiale.

En outre, les dispositions plus strictes sur la protection des données contribuent à placer les cyberincidents en tête de la gestion des risques, car les entreprises s’exposent à des amendes toujours plus élevées si elles violent les règles de gestion des données de leurs clients et de leurs employés. Par exemple, le Règlement général sur la protection des données entrera en vigueur le 25 mai 2018 dans l’ensemble de l’Union européenne (UE). Les entreprises de plus de 250 collaborateurs devront alors documenter leur traitement des données et nommer un délégué à la protection des données. Les fuites de données devront être déclarées aux autorités dans les 72 heures. Les entreprises qui enfreignent les dispositions par négligence grave pourront faire l’objet d’amendes administratives atteignant jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros, le montant le plus élevé étant retenu. Des amendes significatives pourront également être prononcées contre les entreprises suisses qui ont des clients dans l’UE. Par ailleurs, les prescriptions européennes sont prises en compte dans la révision de la loi suisse sur la protection des données, qui est actuellement en consultation. «Le respect des dispositions juridiques sera coûteux, mais les amendes en cas de violation le seront encore davantage», déclare Nigel Pearson, Global Head of Fidelity, AGCS.

Pourtant, les petites et moyennes entreprises n’accordent qu’une faible importance aux cyberrisques, puisqu’elles les classent en sixième position uniquement, alors qu’ils figurent dans le top 3 des risques entrepreneuriaux de presque toutes les autres branches. «Beaucoup de ces entreprises sous-estiment le risque d’une cyberattaque. Elles n’ont souvent pas les compétences nécessaires en interne et ne sont dès lors pas préparées au pire», explique Bruno Spicher, responsable Assurances entreprises d’Allianz Suisse.