Les limites de la cyber-assurance
Alors que le risque de cyberattaque a progressé de 51 % en France en 2015, les entreprises sont de plus en plus enclines à souscrire une cyber-assurance : selon une étude du cabinet PwC de janvier 2016, 52 % se disent ainsi prêtes à signer, pour garantir leur sécurité en cas de vol ou fuite de données. Reste que la cyber-assurance en est encore à ses balbutiements, comme le souligne Christophe Jourdet, Country Leader France chez NTT Security, filiale française du groupe japonais spécialisé dans la sécurité des systèmes d’information. “Toute la complexité pour l’assureur aujourd’hui est de bien définir le risque concerné”, analyse-t-il : en effet, on ne peut couvrir que ce que l’on peut estimer, et c’est justement là que le bât blesse. “On sait bien que même si une entreprise prend toutes les mesures de prévention possibles, aucun système n’est infaillible à 100 %. Il faut donc démontrer que les mesures de sécurité ont été prises, prouver la conformité de la protection de son système d’information, et présenter un audit réalisé en amont qui montre les failles du système concerné”, souligne l’expert. Par ailleurs, le préjudice de l’entreprise victime d’une cyberattaque peut être très difficile à évaluer : “il y a les termes financiers, mais également des éléments qu’on ne maîtrise pas, comme la réputation de l’entreprise, entre autres nombreuses ffaçonsç dont elle ppeut être impactée”,p commente Christophe Jourdet. À noter qu’une grande partie du coût de la cyber-assurance contractée – “50 %”, estime-t-il – est liée aux frais d’intervention en urgence suite à une cyberattaque : “il faut pouvoir remédier à un incident en quelques heures : fixer le problème en mobilisant des experts, et le résoudre. Vient ensuite le temps de l’estimation du coût des conséquences”. L’essentiel pour une entreprise est ainsi d’avoir établi en amont un plan d’action de réponse aux incidents : “il faut avoir en tête que l’on va être attaqué un jour ou l’autre. Si les situations d’urgence sont anticipées, que l’on a les bons contacts et la bonne assurance qui dépêchera les bons experts en temps voulu, alors on limite déjà les dégâts”.
On ne peut couvrir que ce que l’on peut estimer, et c’est justement là que le bât blesse