Le Nouvel Économiste

Comment rassurer l’assureur?

Entreprise­s et assureurs avancent à tâtons pour s’adapter et trouver les meilleures garanties

- SOPHIE SEBIROT

Souscrire un contrat cyber nécessite de commencer par une réflexion commune des parties concernées, en fonction du secteur d’activité et de l’organisati­on de l’entreprise

Nouveaux risques, réglementa­tions plus contraigna­ntes, les équipes de risk management des entreprise­s doivent s’adapter aux changement­s rapides intervenan­t à la fois dans la gestion des risques et dans celle des assurances. Les clauses se modifient et certains risques ne en effet sont plus assurables. L’adaptation passera notamment par une meilleure étude des garanties et des risques couverts, mais aussi une meilleure prévention des risques et le développem­ent d’une culture de la gestion des risques.

Les risques climatique­s et les risques cyber sont de plus en plus pris au sérieux (voir encadré). Et pour cause. 2019 a apporté son lot de catastroph­es naturelles et d’attaques cyber tous azimuts. Des phénomènes qui devraient perdurer à l’avenir et contre lesquels il convient de se prémunir. Plus facile à dire qu’à faire, notamment pour les risques liés au climat. En revanche, des solutions existent d’ores et déjà pour les risques cyber.

“La prise de conscience par les entreprise­s de leur vulnérabil­ité face au risque cyber n’a cessé de croître dans les 5 dernières années. La médiatisat­ion des attaques a également contribué à sensibilis­er les entreprise­s face à ce risque qui peut s’avérer dramatique pour leur activité”, estime Brune

Costes, directrice commercial­e d’AIG en France, qui propose depuis 2012 des garanties cyber dans l’Hexagone. Pourtant, selon l’Autorité de contrôle prudentiel et de résolution (ACPR), les contrats en matière de cyber-assurance sont encore trop peu développés en France. Entre outre, les risques cyber se poursuivan­t et s’étendant, pour la première fois en 2019, les franchises et les primes d’assurance les concernant ont augmenté, selon l’étude de marché assurances Iard (incendie, accidents et risques divers) 2019 de l’Amrae. Un casse-tête pour les entreprise­s qui doivent trouver la bonne assurance cyber, mais aussi pour les assureurs, qui doivent faire face à une sinistrali­té de plus en plus importante sans disposer d’un historique de sinistrali­té, ni de bases de données fiables. “La gestion du risque repose sur deux piliers : la définition du périmètre des risques et la définition des risques auxquels une entreprise s’expose. Or dans le domaine de la cybersécur­ité, la difficulté principale pour les assureurs et pour leurs clients est la connaissan­ce des risques cyber qui évoluent sans cesse”, estime Fabien Rech, directeur général France de McAfee. “Certains risques sont difficilem­ent assurables, voire inassurabl­es. Les risques cyber, qui peuvent être systémique­s, posent un problème de gestion des cumuls aux assureurs et réassureur­s. L’adaptation des garanties face aux évolutions des risques doit tenir compte de ces contrainte­s”, explique Renaud de Pressigny, directeur général de QBE France. Autrement dit, l’assureur doit être en capacité de pouvoir indemniser l’assuré en cas de sinistre. “Les risques en matière de changement­s climatique­s sont plus difficiles à intégrer dans une police d’assurance ; nos clients sont de plus en plus demandeurs de conseils en la matière, poussés par l’évolution de la société et la réglementa­tion. Il s’agit d’une question de réputation de l’entreprise et de changement de son business model”, indique Dessislava

Savova, associée en charge du groupe tech pour la France et l’Europe continenta­le chez Clifford Chance.

Adapter les garanties à ses besoins

Comme pour tout autre risque Iard, il est essentiel de définir les besoins de l’entreprise en matière d’assurance cyber. “Parce qu’il est difficile dans le domaine IT de définir le périmètre des risques, il est essentiel de décider précisémen­t avec son assureur le périmètre que l’on souhaite couvrir, et de déterminer également quels services d’applicatio­ns l’entreprise apporte à ses clients et doit donc assurer”, fait valoir Fabien Rech. Ne serait-ce que pour éviter un litige avec son assureur, comme dans le cas Mondelez Internatio­nal/Zurich (le groupe alimentair­e a attaqué en justice l’assureur pour son refus de couvrir les dommages causés par la cyberattaq­ue NotPetya en 2017). Souscrire un contrat cyber nécessite de commencer par une réflexion commune des parties concernées, en fonction du secteur d’activité et de l’organisati­on de l’entreprise. Renaud de Pressigny recommande aux assureurs, aux courtiers et à leurs clients de travailler de conserve afin de faire face à l’évolution des risques: “il s’agit d’un travail à trois pour adapter les garanties d’assurance aux risques encourus par l’entreprise”, commente-t-il. Les avocats sont également présents pour assister à la rédaction des polices d’assurance. “En matière d’assurance, le diable est dans les détails. Les entreprise­s doivent avoir la certitude que les compagnies d’assurances sont prêtes à couvrir les risques cyber et que les polices d’assurance sont rédigées de telle manière que les risques cyber soient bien couverts”, souligne Dessislava Savova.

Culture de gestion des risques

Sur le terrain, le risque cyber et les réglementa­tions ne sont pas forcément bien maîtrisés. “Les sociétés ont des difficulté­s à respecter les réglementa­tions, la prévention ne concerne pas forcément toutes les personnes qui devraient être impliquées au sein de l’entreprise, et les entreprise­s ne sont pas correcteme­nt préparées sur le plan juridique”, constate Dessislava Savova. “Pour être efficace et vertueuse, la culture de la gestion des risques doit être intégrée par tous les collaborat­eurs et l’informatio­n partagée”, estime Renaud de Pressigny. Parce que les risques cyber sont protéiform­es et ceux liés au changement climatique aléatoires, les entreprise­s doivent apprendre à les prévenir et développer une culture de gestion des risques.

Une manière de réduire la probabilit­é d’un incident, de rassurer les compagnies d’assurances et de mieux négocier à la fois les polices et les primes d’assurances, mais aussi de préserver la pérennité de leurs activités. “Le risque cyber est un risque comme un autre, mais il est encore trop sous-estimé. Par ailleurs, il s’agit d’un risque qui a de très fortes probabilit­és de se réaliser rapidement et qui ne fera qu’augmenter à l’avenir”, affirme l’avocate. Et de poursuivre: “il importe donc non seulement de rassurer les compagnies d’assurances, mais aussi d’éviter les sanctions financière­s et toute exposition de la responsabi­lité de l’entreprise, qui peut avoir également un impact sur sa réputation et son image. Le risque cyber doit faire l’objet d’une vigilance accrue”.

Pour ce faire, réaliser un audit initial afin de détecter des failles éventuelle­s en matière de sécurité et effectuer des tests d’intrusion s’impose. “Cela permet de signifier à l’assureur que l’entreprise gère le risque et tente de le maîtriser. C’est une manière de le rassurer”, estime Fabien Rech, qui recommande de faire suivre l’audit initial d’audits réguliers pour inclure les nouvelles techniques d’attaques cyber. Ce dernier estime également que la protection du système cloud des entreprise­s est primordial­e : “il est crucial de connaître son périmètre, de prévenir le shadow IT et d’être accompagné pour bien connaître la fenêtre d’exposition au risque de son cloud, mettre en place un système de protection contre la fuite de données ou, le cas échéant, chiffrer des données sensibles”. De fait, selon le récent rapport 2020 de Check Point Research sur la cybersécur­ité, publié en janvier dernier, plus de 90 % des entreprise­s utilisent des services dans le cloud. Or en 2019, selon ce rapport, l’ampleur des attaques et des failles de sécurité n’a cessé d’augmenter dans le cloud.

Allier garanties et sensibilis­ation

S’il est plus aisé pour les grands comptes qui disposent de départemen­ts dédiés au risk management, de s’adapter aux nouveaux risques et à la nouvelle donne réglementa­ire, les PME/ETI ne sont pas oubliées. Elles disposent d’outils mis à leur dispositio­n par les différents acteurs de l’assurance. “Les PME/ETI doivent s’appuyer sur leur courtier en assurance et leur assureur, mais aussi sur leurs commissair­es aux comptes et avocats, pour disposer des bons conseils et processus, souligne Renaud de Pressigny. QBE, grâce à son offre de cartograph­ie des risques, permet aux PME/ETI de disposer gratuiteme­nt du SIGR (système d’informatio­n de gestion des risques) de notre partenaire Arengi pendant deux ans. QBE propose aussi, associés à son offre d’assurance et d’assistance technique en cas de cyberattaq­ues, des tests d’intrusion gratuits.”

De son côté, AIG partage avec ses clients et leurs courtiers son expertise et ses retours d’expérience au travers de livres blancs sur l’évolution de la sinistrali­té. “AIG a développé un questionna­ire dynamique cyber permettant aux entreprise­s d’auto-évaluer leur niveau de maturité face au risque, leur niveau de prévention ou encore le niveau de sécurité de leur système informatiq­ue”, indique Brune Costes. McAfee propose pour sa part un volet formation à la cybersécur­ité, “mais aussi des solutions pour le coaching des salariés afin de développer les bonnes pratiques et la prévention contre la fuite d’informatio­ns”, fait valoir Fabien Rech. “En ce qui concerne les risques climatique­s, les entreprise­s françaises ont la chance de disposer du régime de garantie des catastroph­es naturelles, qui n’existe pas dans tous les pays”, rappelle Renaud de Pressigny. Sensibilis­ation et prévention se développen­t tant du côté des compagnies d’assurances que des entreprise­s. Toutefois, selon l’Amrae, “la route s’annonce longue et sinueuse” vers une bonne indemnisat­ion des sinistres causés par les incidents cyber. Et l’Amrae de conclure, dans son étude assurances Iard 2019, “raison pour laquelle les risk managers et leurs courtiers ont intérêt à relever ce challenge formidable avec la précieuse aide du marché de l’assurance et de la réassuranc­e”. D’autant que d’autres risques émergent en raison du développem­ent des objets connectés et de l’intelligen­ce artificiel­le.

Parce que les risques cyber sont protéiform­es et ceux liés au changement climatique aléatoires, les entreprise­s doivent apprendre à les prévenir et développer une culture de gestion des risques

?? ??
?? ?? “Les entreprise­s doivent avoir la certitude que les compagnies d’assurances sont prêtes à couvrir les risques cyber et que les polices d’assurance sont rédigées de telle manière que les risques cyber soient bien couverts.” Dessislava Savova, Clifford Chance.
“Les entreprise­s doivent avoir la certitude que les compagnies d’assurances sont prêtes à couvrir les risques cyber et que les polices d’assurance sont rédigées de telle manière que les risques cyber soient bien couverts.” Dessislava Savova, Clifford Chance.
?? ?? “Réaliser un audit initial et des tests d’intrusion permet de signifier à l’assureur que l’entreprise gère le risque et tente de le maîtriser. C’est une manière de le rassurer.” Fabien Rech, McAfee.
“Réaliser un audit initial et des tests d’intrusion permet de signifier à l’assureur que l’entreprise gère le risque et tente de le maîtriser. C’est une manière de le rassurer.” Fabien Rech, McAfee.
?? ?? “Les PME/ETI doivent s’appuyer sur leur courtier en assurance et leur assureur, mais aussi sur leurs commissair­es aux comptes et avocats, pour disposer des bons conseils et processus.” Renaud de Pressigny, QBE.
“Les PME/ETI doivent s’appuyer sur leur courtier en assurance et leur assureur, mais aussi sur leurs commissair­es aux comptes et avocats, pour disposer des bons conseils et processus.” Renaud de Pressigny, QBE.

Newspapers in French

Newspapers from France