[Gestion des risques] Assurance des cyber-risques: quelle couverture adopter ?
Ransomwares, piratages de sites et vols de données font aujourd'hui partie des risques quotidiens pour les entreprises. Pour accompagner leurs clients face à cette menace, les assureurs ont développé des offres dédiées aux cyber-risques. Mais comment évaluer ses besoins en la matière?
Je m'abonneAu cours des cinq dernières années, 92% des entreprises européennes ont subi une cyberintrusion, selon l'étude "Faire face au défi de la cybersécurité" publiée en septembre 2016 par le Lloyd, marché d'assurance. Kaspersky Lab, société spécialisée dans la sécurité du SI, souligne dans son bulletin 2016 que toutes les 40 secondes, une entreprise est victime d'un ransomware. Alors qu'en 2015, la fréquence était d'une attaque toutes les 2 minutes...
Pourtant, l'assurance de ces cyberrisques reste encore à la marge dans nombre d'organisations: en 2015, moins de 5% des entreprises françaises avaient déjà souscrit une cyberassurance, selon une étude conjointe d'Ifop et PwC. "Avec plus de 3 milliards d'individus ayant accès à Internet dans le monde, ne pas être assuré contre les cyberattaques devrait paraître aujourd'hui aussi saugrenu que de ne pas l'être contre le risque d'incendie", alerte Jean-Marc Sarter, senior consultant assurance au sein du groupe de conseil Ayming.
Quels sont les risques couverts par ce type de police? Les cyber-risques regroupent toutes les atteintes touchant les systèmes électroniques et/ou informatiques, ou encore les données informatisées. Attention, donc, à la définition des risques couverts par la cyber-assurance : "Le besoin de couverture cyber ne doit pas être confondu avec celui d'assurance fraude, qui relève d'un autre type d'assurance, avertit Alain Depiquigny, fondateur de Datassurances, courtier en assurance des cyber-risques qui travaille en cocourtage avec Gras Savoye. La fraude au président, par exemple, ne sera pas couverte par une assurance des cyber-risques." Cependant, certaines compagnies, à l'instar de CNA, proposent des contrats mixtes fraude et cyber. Parmi les atteintes couvertes par la plupart des assurances cyber figurent le chiffrement des données et les demandes de rançon (ransomware), les attaques par déni de service distribué (Dos ou DDos), les fuites de données (data breach), les défaçages du site internet...
L'assistance-gestion de crise, bouée de sauvetage en cas d'attaque
Un contrat d'assurance cyber comprend généralement trois volets: dommages aux biens, responsabilité civile et assistance-gestion de crise. "Le besoin de ce dernier, qui prend en charge le financement de l'intervention de prestataires spécialisés, dans une situation de gestion de crise, est commun à tous les secteurs d'activité", souligne Alain Depiquigny. Cette assistance est assurée par des entreprises spécialisées dans la sécurité informatique. Le client dispose ainsi, dans sa police d'assurance, du contact d'un maître d'oeuvre qui assurera la coordination des différents intervenants de la cellule de crise en cas de cyberattaque. À cet effet, les assureurs se sont rapprochés des acteurs de la cybersécurité pour proposer des solutions complètes: Axa, par exemple, s'appuie sur Airbus, AIG sur Solucom, ou encore Allianz sur Thalès.
Concernant les autres volets, le secteur d'activité de l'entreprise et les atteintes auxquelles elle sera, de fait, plus exposée, constituent des critères prépondérants pour définir ses besoins de couverture cyber. "Les fuites de données personnelles ou confidentielles, par exemple, peuvent déboucher sur la mise en cause de la responsabilité de l'entreprise, voire celle de ses dirigeants", affirme Alain Depiquigny. Les entreprises de la santé, par exemple, qui détiennent ce type de données en grand nombre, auront donc besoin du volet responsabilité civile.
Le volet dommage aux biens recouvre principalement le risque de perte d'exploitation: frais de reconstitution des données, perte d'exploitation liée à l'interruption de l'activité provoquée par une atteinte au SI... "Ce besoin concerne les activités pour lesquelles une atteinte au SI comporte un risque d'interruption de l'activité qui, même sur un laps de temps très court, est susceptible de générer une perte d'exploitation quantifiable, précise Alain Depiquigny. C'est le cas des sites de vente en ligne qui peuvent, par exemple, subir une attaque Ddos qui consiste à bloquer les serveurs par saturation, ou encore des activités industrielles dont les installations sont pilotées à distance."
Manque de recul sur les cyber-risques
"La nature évolutive des risques fait que nul, aujourd'hui, ne peut connaître leur prix réel", déclare Jean-Marc Sarter. Les assureurs manquant de recul statistique sur le cyber-risque, il s'ensuit de grandes amplitudes tarifaires entre les compagnies. Pour définir son besoin de couverture, l'entreprise doit établir une cartographie de ses risques cyber. "Idéalement, le contrat d'assurance souscrit doit reposer sur une étude qui comprend la cartographie des risques, l'analyse des vulnérabilités, des moyens de prévention pragmatiques mis en oeuvre pour y remédier, une classification des données, précisant leurs moyens de protection, des tests d'intrusion réalisés pour détecter les failles...", précise Alain Depiquigny. Une démarche qui, dans l'idéal, sera menée par une entreprise d'audit en sécurité informatique. Des méthodes spécifiques d'analyse des risques telles que Méhari, Ebios ou Octave, permettent une analyse rationnelle de la sécurité des SI au regard des normes ISO. Pour l'assureur, la première base d'analyse sera le questionnaire initial rempli par le prospect, qui détaille la composition du SI, les habitudes des utilisateurs, mais aussi des systèmes de sécurité existants. La souscription sera actualisée chaque année au regard des statistiques des sinistres ou de l'évolution prévisible des risques, évaluée via un questionnaire, un audit ou la visite d'un inspecteur. Car comme le rappelle Alain Depiquigny, "l'assurance cyber n'est pas l'alternative à la prévention/protection du SI, mais son complément."
Quelques solutions d'assurance des cyber-risques
AIG a déployé avec CyberEdge une solution complète de gestion des cyberrisques, incluant le conseil et la prévention, l'assurance et la mise en place d'une équipe de gestion de crise. Le groupe Chubb, fusionné il y a un an avec ACE, effectue en amont une analyse du SI de l'entreprise cliente afin de proposer une protection adaptée contre les risques informatiques matériels et immatériels. Ses offres s'adressent particulièrement aux mutuelles, sites de vente en ligne, industries, services publics, médias... Allianz, Axa et XL Catlin proposent également des polices adaptées aux besoins des grands comptes.
Lire aussi:
[Gestion des risques] Le risk manager, un allié précieux de la direction achats
[Gestion des risques] "Le donneur d'ordre devient contrôleur du respect du code du travail"
[Gestion des risques] Organiser la collecte et la vérification des documents contractuels
[Gestion des risques] Des outils pour une bonne gestion des documents contractuels