Parmi les biens à protéger dans l’entreprise, il faut désormais ranger l’e-réputation parmi les plus précieux de ses actifs immatériels. Qu’un événement négatif ou simplement sortant de l’ordinaire survienne et voilà la mauvaise réputation en ligne qui s’installe et menace, comme un vent mauvais, de tout balayer sur son passage. Peu importe que les faits reprochés à l’entreprise soient sérieux et étayés ou non. L’histoire du monde des affaires regorge d’événements graves passés sous silence. Mais à l’heure du Web 2.0, il est difficile voire impossible de garder secrète une conversation, une information, un projet, un manquement… Face aux risques démultipliés par la caisse de résonance mondiale qu’est Internet, les entreprises, associations et fondations peuvent-elles raisonnablement se passer de toute protection assurantielle de leur risque d’image ?

Réactions en chaîne

« Les deux choses les plus importantes qui n’apparaissent pas au bilan de l’entreprise sont sa réputation et ses hommes. » Cette maxime exprimée il y a plus d’un siècle par Henry Ford est toujours d’actualité. En France pendant longtemps, la réputation n’était pas un sujet de préoccupation prioritaire, du moins pas explicitement. Il faut attendre le début des années 1970 et les scandales alimentaires à répétition portant gravement atteinte à la santé et la sécurité des consommateurs pour que la réputation des entreprises commence à poser des questions. Au temps d’un Internet balbutiant, l’information circulait mal, et globalement de nombreuses entreprises s’en sortaient sans dommage réputationnel en gardant au secret leurs « erreurs et bêtises » volontaires ou subies. Avec la révolution technologique du Web 1.0 puis celle du Web 2.0 émergent les réseaux sociaux et la généralisation d’outils d’évaluation et de commentaires sans pareil.

D’un simple clic, chacun relaie et diffuse à l’infini une information ou un événement vrai ou supposé, parfois un appel au boycott des produits ou services. La réputation se fait et se défait sur Internet, parfois en quelques minutes, à l’échelle de tout le pays, voire du monde. « Auparavant, en cas d’attaque cyber, l’entreprise pouvait gérer le sujet en chambre, sans que ses clients, fournisseurs, partenaires soient informés. Ce n’est plus possible aujourd’hui, en particulier grâce au RGPD qui a apporté cette exigence de transparence contraignant les entreprises à déclarer aux autorités et à chaque personne physique concernée les atteintes à ses données personnelles », explique Bernard Duterque, directeur souscription risques spécialisés et cyber risks chez Generali.

Notification

L’immédiateté propre aux réseaux sociaux rend inefficaces les stratégies traditionnelles de gestion de crise jadis basées sur le secret. « En cas de piratage, l’entreprise ne pourra pas garder le secret car les hackers vont se vanter de leurs actions. Parfois, la société apprend son piratage via les réseaux sociaux à la suite de ces vantardises », confirme Benoît Salembier, président d’Add Value assurances.

La question de savoir ce qu’est au juste l’e-réputation n’a pas suscité d’intérêt chez les spécialistes de la communication digitale, ni chez les juristes, mais selon les informations fournies par la Commission nationale de l’informatique et des libertés (Cnil), il s’agit de l’image numérique d’une entreprise ou d’une personne sur Internet. Elle est entretenue par tous les éléments et informations concernant cette entreprise mis en ligne sur les réseaux sociaux, les blogs, les forums, les plates-formes de partage de vidéos, etc. Ces contenus sont produits par l’entreprise elle-même mais aussi par toute une écosphère réputationnelle composée des clients, fournisseurs, concurrents, salariés, groupes de pression… La vie des entreprises est exposée à de nombreux événements inattendus qui peuvent déclencher une crise sur sa réputation : des actes internes jetant une lumière blafarde sur la production de ses biens et/ou services, par exemple, l’utilisation de produits dangereux ou de piètre qualité dans la fabrication d’un produit vendu comme sain, local et/ou haut de gamme.

Il peut aussi y avoir dénonciation d’une mauvaise qualité de services, voire de comportements violents des collaborateurs comme lors de cette affaire impliquant une compagnie aérienne américaine où se mêlent expulsion d’un passager pour cause de surbooking et violences à son égard par le personnel de bord ; le tout filmé par les autres clients présents et immédiatement partagé sur les réseaux sociaux, qui affichent rapidement des millions de vues.

Ce buzz négatif plonge dans la tourmente la compagnie qui voit son cours en Bourse chuter. Il s’agit toutefois d’un cas atypique puisqu’en pratique, les risques d’atteinte à l’e-réputation sont majoritairement des conséquences de cyber-attaques. Des événements subis, qui vont pourtant l’impacter lourdement. C’est là que le propos de William Shakespeare prend tout son sens quand il fait dire à Othello : « La réputation est un préjugé vain et fallacieux : souvent gagnée sans mérite et perdue sans justice. » Appliqué à l’époque contemporaine, cela signifie que l’entreprise peut perdre sa réputation pour des événements totalement indépendants de sa volonté, dont elle est la victime.

Pour Benoît Salembier : « La marque et la notoriété d’une entreprise sont parmi ses actifs stratégiques, quels que soient sa taille et le marché sur lequel elle opère. En cas d’incident, la diffusion rapide de l’information sur Internet et l’explosion des réseaux sociaux ont amplifié le risque d’atteinte à la réputation. »

L’assurance, un réflexe salutaire

La question de la réputation démultiplie les risques pour les entreprises dont le consommateur final de ses produits ou services est le particulier. « La cyber-attaque avec vol de données confidentielles de sa clientèle de particuliers, notamment les coordonnées bancaires, constitue l’un des grands risques pour l’entreprise », précise Xavier Leproux, responsable souscription cyber risks France chez l’assureur Chubb. Même si l’entreprise n’a aucune clientèle de particuliers, le piratage de son système informatique est lourd de conséquences : par exemple, un cabinet juridique qui rédige des contrats de fusions, acquisitions ou cessions d’entreprises nécessitant la plus haute confidentialité engagera lourdement sa responsabilité et risque de subir une grave atteinte à sa réputation si, à la suite d’une attaque cyber, tout ou partie des informations confidentielles, voire le nom des clients et des vendeurs, sont divulgués.

Tout aussi grave en termes de dommages à l’image, la situation où une clinique, un hôpital, un laboratoire d’analyses médicales subit la fuite de données médicales et de santé de ses clients. L’indisponibilité des systèmes informatiques, suite à la cyber-attaque, peut aussi entraîner le blocage des usines et autres lieux de production et provoquer des retards de livraison : les clients professionnels ou particuliers y regarderont à deux fois avant de faire affaire avec une entreprise qui ne respecte pas les délais.

Pertes de données

Selon un acteur du marché, il y a tous les jours de nombreuses fuites de données suite à des incidents cyber, y compris chez les grands groupes internationaux, les points de vulnérabilité étant généralement situés chez les sous-traitants vers qui l’activité a été transférée. « L’assurance protégeant les conséquences d’une atteinte à la réputation existe depuis longtemps mais elle est restée méconnue. Elle se développe aujourd’hui en inclusion des contrats cyber », explique Benoît Salembier.

Tous les grands assureurs proposent cette garantie conçue davantage comme un confort accordé aux clients que comme un produit hautement rentable. Toutefois, « les risques d’atteinte réputationnelle non liés à des incidents numériques ne sont pas compris dans la couverture d’assurance cyber mais peuvent l’être au titre d’un autre contrat, notamment dans la RC du dirigeant », résume Benoît Salembier. Mais pour être garantie, l’entreprise assurée doit avoir une pratique quotidienne exemplaire et être en conformité avec les standards et les normes réglementaires de sécurité informatique.

« Au titre du volet prévention en cyber, nous encourageons nos assurés à se sensibiliser et à former leur personnel à ces risques, par exemple sur notre plate-forme en ligne ou encore à suivre de bonnes pratiques de base, comme le fait d’avoir une sauvegarde des données critiques qui soit déconnectée de son service informatique », signale Astrid-Marie Pirson, directrice technique de la souscription chez l’assureur Hiscox.

Les assureurs sont tous extrêmement vigilants sur le volet prévention dont les vertus sont multiples. « La plus-value de l’assurance cyber, c’est le volet service mais également son caractère structurant : chez Chubb, nous pouvons aider à la mise en place avec l’entreprise assurée d’un plan de réponse afin de se préparer à gérer de façon efficace un incident cyber », souligne Xavier Leproux.

Service à forte valeur ajoutée ou garantie gadget ?

Selon une enquête du cabinet d’expertise-comptable Denjean & associés en collaboration avec Gan assurances, 6,3 % des entreprises jugent utiles la souscription d’une garantie assurantielle de prise en charge des frais consécutifs à une atteinte à l’e-réputation. En apparence modeste, ce chiffre est en réalité positif. Il montre que les décideurs d’entreprise ont intégré la donne liée à cette thématique du risque d’image. Quel que soit l’assureur choisi, la couverture de la réputation numérique ne promet pas des lendemains redevenus blancs comme neige, avec l’effacement et l’arrêt quasi magiques et définitifs des contenus préjudiciables.

Le premier service qu’apporte l’assurance e-réputation relève de la gestion de crise. « Sous le choc de l’événement qui suscite ou risque de susciter les commentaires négatifs sur les réseaux sociaux, le chef d’entreprise, surtout dans les TPE/PME/PMI, ne sait pas vers qui se tourner. L’assurance e-réputation lui apporte une réponse immédiate », explique Benoît Salembier. Au-delà de rassurer le chef d’entreprise, l’assurance e-réputation offre un accompagnement dédié sous la forme de services d’une agence de relations publiques spécialisée partenaire de l’assureur qui va mettre en place les mesures propres à limiter ou faire cesser les atteintes à la réputation sur Internet. Outre la gestion de la crise réputationnelle, l’agence de relations publiques peut également à cette occasion fournir des recommandations à l’entreprise.

Alternative au partenariat avec des agences extérieures, certains assureurs détiennent des filiales intégrées spécialisées dans le risk management prenant en charge toutes les questions de cyber-risques, y compris les atteintes à la réputation sur Internet. Partenaire ou filiale de l’assureur, dans tous les cas, l’agence de relations publiques va réaliser des opérations de « noyade » et nettoyage des contenus préjudiciables. Ces actions ne remettent pas totalement les compteurs à zéro, en tout cas pas instantanément, mais selon Astrid-Marie Pirson : « Le raccourci consistant à rendre l’entreprise responsable apparaît beaucoup moins fréquemment si elle gère correctement sa communication sur les conséquences d’une attaque cyber. Pour autant, l’assurance e-réputation a des limites et ne couvre pas tout. Nos polices ne couvrent pas le déficit d’image à proprement parler, ni la baisse du cours de l’action en Bourse qui peuvent être des conséquences directes d’un incident cyber mais sont en réalité très difficiles à évaluer. En revanche, nous sommes là pour aider nos assurés à limiter l’impact de ces conséquences en travaillant avec des spécialistes de la communication de crise ». Proposée seule (rare en pratique) ou intégrée d’office dans un contrat cyber, l’assurance e-réputation, c’est comme le pari de Pascal : en souscrire une, c’est prendre une assurance sur l’avenir.