L'assurance cybernétique connaît une croissance de plus de 500 %, mais ne couvre généralement pas des cas comme le vol d'un milliard de R$ lié à Pix

La police civile de São Paulo et la police fédérale continuent d'enquêter sur la plus grande attaque de pirates informatiques de l'histoire du Brésil , qui a utilisé des identifiants d'accès valides et a envahi les systèmes de C&M - une société technologique qui sert d'intermédiaire pour l'accès des banques et des petites fintechs aux systèmes de la Banque centrale (BC), y compris Pix - pour voler de l'argent à six institutions financières clientes de l'entreprise.

Suite à de nouveaux rapports faisant état de pertes financières, la police estime que les dégâts pourraient dépasser le milliard de réaux brésiliens . Au Brésil, il est de plus en plus courant de souscrire une « cyberassurance » pour aider les entreprises à couvrir divers aspects des pertes en cas de piratage informatique .

Selon une enquête de la Confédération nationale des assureurs (CNSeg) avec des données de l'année dernière, la recherche d'assurance contre les attaques de pirates informatiques a augmenté de 12,7% entre janvier et juin 2024, avec une collecte de 110,6 millions de R$ payés par les entreprises clientes aux assureurs - un montant connu sous le nom de prime, qui est ce que les clients paient aux compagnies d'assurance pour avoir la police.

Au Brésil, la croissance des contrats d'assurance cyber a atteint 512,4 % au cours de la période historique débutant en 2020. Cependant, le marché national reste modeste : en 2024, il a clôturé avec environ 240 millions de réaux de primes dans ce segment. Aux États-Unis, par exemple, les primes ont atteint 10 milliards de dollars américains sur la même période.

Dans des cas comme l'attaque contre C&M, cependant, par défaut, les contrats des compagnies d'assurance ne couvrent pas les sommes financières volées lors de cyberattaques ou excluent le paiement de la couverture dans diverses situations, comme si le vol avait été effectué avec l'aide d'une personne interne à l'entreprise victime elle-même (comme ce fut le cas) ou par le biais de l'ingénierie sociale : c'est lorsque les pirates parviennent à pénétrer dans un système en capturant des données d'accès valides auprès d'une personne autorisée sur le système — dans le cas du phishing , par exemple, lorsque les escrocs capturent des informations sensibles auprès des victimes via des liens malveillants.

Seule BMP, une banque numérique qui compte parmi les six clients de C&M concernés, a signalé le vol de 541 millions de réaux à la police de São Paulo. Initialement, l'argent n'a pas affecté les clients et a été retiré des comptes de réserve des institutions financières à la Banque centrale. La police civile de São Paulo a arrêté un employé de C&M accusé d'avoir fourni l'identifiant et le mot de passe du système de l'entreprise aux pirates informatiques responsables de l'escroquerie en échange de 15 000 réaux.

À ce jour, la Banque centrale a suspendu six petites institutions financières du système Pix, soupçonnées d'avoir transféré des fonds et d'avoir participé de toute autre manière à ce détournement de fonds d'un milliard de dollars. La suspension est d'une durée maximale de 60 jours. L'article 95-A de la résolution 30/2020, la « loi Pix », stipule que la Banque centrale peut « suspendre provisoirement, à tout moment, la participation à Pix de tout participant dont le comportement compromet le fonctionnement régulier du système de paiement ».

La couverture de « cyberassurance » n’est généralement pas complète

Selon le rapport final du Groupe de travail sur la cybersécurité et les nouvelles assurances pour l'économie numérique, daté de décembre 2024, de la Surintendance des assurances privées (Susep), un organisme fédéral rattaché au ministère des Finances, « malgré l'étendue de la couverture, il est important de souligner les exclusions, qui sont des clauses contractuelles limitant la responsabilité de l'assureur. Les principales exclusions comprennent les actes intentionnels, les guerres, les catastrophes naturelles, les dommages corporels et moraux, les pertes sur instruments financiers et les événements antérieurs. »

Le document indique que « proposer ces couvertures au Brésil serait important pour un meilleur alignement avec les meilleures pratiques internationales, une protection plus complète pour les entreprises, en particulier les micro, petites et moyennes entreprises, y compris les particuliers, en plus de stimuler la croissance du marché de la cyberassurance au Brésil, d'attirer de nouveaux clients et d'accroître la compétitivité entre les assureurs. »

Sur son site Internet, où il propose des solutions de sécurité numérique, le géant IBM recommande de souscrire une « cyber-assurance » en complément de ses produits, mais met en garde contre les exclusions typiques de ce type :

• violations de données par des tiers (lorsque l’attaque qui frappe le client est en réalité menée par une société partenaire tierce, comme ce fut le cas avec C&M) ;
• ingénierie sociale;
• menaces internes (dans le cas où quelqu’un dans l’entreprise participerait à l’attaque « de l’intérieur », comme ce fut également le cas chez C&M) ;
• attaques parrainées par un État national ou un gouvernement ;
• attaques qui exploitent une vulnérabilité déjà connue du système ;
• pannes de réseau non causées par une attaque de pirate informatique .

Selon Marta Schuh, directrice de l'assurance cybernétique et technologique chez Howden, il existe sur le marché certaines options qui assurent au moins une partie de l'argent perdu lors d'une attaque elle-même , mais en raison de l'historique de fraude au Brésil et de la faible maturité des entreprises nationales par rapport au sujet, il existe une restriction locale de l'offre et les coûts des produits les plus complets sont très élevés.

« Le produit est disponible, mais il doit être bien établi, et le coût de l'inclusion d'une dérogation monétaire augmente considérablement la prime », précise-t-il. Schuh explique que dans ce cas, l'assureur vérifie les procédures de sécurité de l'entreprise cliente et recommande des renforts si nécessaire ; à défaut, la police ne sera pas émise.

« Je crois que cet incident souligne l'urgence pour nos institutions de reconnaître que le monde a changé, que notre façon de faire des affaires s'est transformée et que, par conséquent, de nouveaux risques sont apparus », déclare Marta Schuh. « De nombreuses entreprises considèrent encore la cybersécurité uniquement comme un risque lié à la protection des données, mais elle va bien au-delà. Elle impacte la continuité des activités, la réputation de la marque, la confiance des clients et même la stabilité opérationnelle. »