Cy­ber-as­su­rances: com­ment créer de la va­leur pour les en­tre­prises ?

Point Banque - - CHRONIQUE RENDEZ-VOUS -

Aune époque où une faille de sécurité mi­neure peut en­traî­ner des dom­mages ma­jeurs, le mar­ché des cy­ber-as­su­rances est en plein es­sor. Le der­nier rapport de la Fer­ma, la fé­dé­ra­tion eu­ro­péenne des risk ma­na­gers, sou­ligne l’émer­gence du « di­gi­tal risk » et l’aug­men­ta­tion du nombre d’en­tre­prises eu­ro­péennes dis­po­sant d’une cy­ber-as­su­rance, pas­sant de 28 % en 2014 à 37 % en 2016. 1

Ce­pen­dant, le mar­ché reste im­ma­ture. Ce­la s’ex­plique par le fait que les cy­ber-risques sont en­core mal ap­pré­hen­dés dans les en­tre­prises – même si la prise de conscience avance, au gré des ac­tua­li­tés sen­sa­tion­nelles sur les pi­ra­tages mas­sifs de don­nées et des ef­forts de sen­si­bi­li­sa­tion des au­to­ri­tés, tel que le guide Eu­ro­pol-check­point du 15 dé­cembre 2016 pour évi­ter les ran­som­wares, ou les ini­tia­tives de l’ans­si et de la Cnil. Ce­la s’ex­plique aus­si par l’hé­té­ro­gé­néi­té des pro­duits d’as­su­rance. Ain­si, le gou­ver­neur de la Banque de France ap­pe­lait ré­cem­ment les as­su­reurs à faire émer­ger des offres fran­çaises et eu­ro­péennes de cy­ber-as­su­rance plus ma­tures. En­tre­prises et com­pa­gnies d’as­su­rance ont cha­cune un rôle à jouer pour créer de la va­leur dans ce sec­teur, qui peut être an­xio­gène par mé­con­nais­sance des le­viers d’ac­tion.

Pour l’en­tre­prise: iden­ti­fier le risque et le be­soin de cou­ver­ture

Une mul­ti­pli­ci­té de risques peut être iden­ti­fiée, is­sus de com­por­te­ments mal­veillants ou non : dé­faillance tech­nique, er­reur hu­maine, non-confor­mi­té ré­gle­men­taire, ou en­core vi­rus, ran­som­ware (de­mande de ran­çon pour dé­blo­quer d’un sys­tème in­for­ma­tique, pa­ra­ly­sé au préa­lable par un pi­rate, par exemple par chif­fre­ment), fraude au pré­sident (ordre de paie­ment frau­du­leux et mon­té de toute pièce par un pi­rate pour trom­per un em­ployé), etc.

Le pé­ri­mètre de la cou­ver­ture peut quant à lui en­glo­ber dif­fé­rentes ga­ran­ties: pertes di­rectes, frais de res­tau­ra­tion des pro­grammes et don­nées, ges­tion de crise, res­pon­sa­bi­li­té de l’en­tre­prise par exemple en cas de di­vul­ga­tion de don­nées per­son­nelles. Ce­pen­dant, cer­tains dom­mages sont dif­fi­ci­le­ment quan­ti­fiables à un ins­tant t comme l’at­teinte à la ré­pu­ta­tion. D’autres sont su­jets à ques­tion­ne­ment sur leur ca­rac­tère as­su­rable ou non : couvre-t-on un risque de ran­çon, qui plus est li­bel­lée en bit­coin?

Pour ap­pré­hen­der ce risque mul­tiple, pro­téi­forme, par­fois in­quan­ti­fiable, l’ap­proche la plus simple consiste à faire un pre­mier tra­vail d’ana­lyse: car­to­gra­phie et me­sure des risques, et iden­ti­fi­ca­tion du be­soin prio­ri­taire afin d’adap­ter la cou­ver­ture exis­tante, le cas échéant. Pour ce faire, un au­dit des po­lices exis­tantes doit être me­né pour iden­ti­fier les élé­ments dé­jà cou­verts ou les manques. A cet égard, des in­cer­ti­tudes se ré­vèlent à la lec­ture de po­lices ré­di­gées sans in­clure ni ex­clure les risques cy­ber et qui doivent être ana­ly­sées: ce risque cy­ber "si­len­cieux" est-il cou­vert ou non? Les ré­ponses ne peuvent ve­nir ici qu’au cas par cas, avec l’aide de l’ana­lyse de la ju­ris­pru­dence en at­ten­dant une ré­flexion de fond.

En­fin, un tra­vail consi­dé­rable de com­pa­rai­son des offres et de com­bi­nai­son des pro­duits est né­ces­saire. Ce tra­vail peut être ren­du dif­fi­cile par la dis­pa­ri­té de l’offre exis­tante. Se­ra-t-il fa­ci­li­té à l’ave­nir avec l’ap­pa­ri­tion de ro­bo-ad­vi­sors ou autres so­lu­tions in­no­vantes d’in­sur­tech au­da­cieuses ?...

Pour l’as­su­reur: l’en­jeu de l’ana­lyse des don­nées des as­su­rés

Mal­gré un mar­ché fa­vo­rable, il reste dif­fi­cile de dé­ve­lop­per des offres as­su­ran­tielles per­ti­nentes, no­tam­ment du fait de la dif­fi­cile ap­pré­hen­sion du cy­ber-risque et des coûts. Pour pou­voir faire évo­luer les mo­dèles, les as­su­reurs ont be­soin de don­nées fiables concer­nant la struc­ture des sys­tèmes d’in­for­ma­tion et des évé­ne­ments de sécurité afin d’ali­men­ter leurs mo­dèles ma­thé­ma­tiques et dé­ga­ger des pré­vi­sions sta­tis­tiques.

A l’heure ac­tuelle, la no­ti­fi­ca­tion des failles de sécurité aux au­to­ri­tés n’étant pas obli­ga­toire, les as­su­reurs ne peuvent se re­tour­ner que vers leurs as­su­rés pour ob­te­nir des don­nées concer­nant la ty­po­lo­gie et la ré­cur­rence des cy­ber-at­taques ain­si que leurs impacts au sein de l’en­tre­prise: ces in­for­ma­tions étant des don­nées consi­dé­rées comme sen­sibles, les en­tre­prises sont sou­vent ré­ti­centes à les par­ta­ger. Il est par consé­quent es­sen­tiel pour les as­su­reurs d’éta­blir une re­la­tion de co­opé­ra­tion avec les en­tre­prises, qui peut se mettre en place via une offre d’as­su­rance in­té­grant, avec la po­lice en tant que telle, des ser­vices plus larges sor­tant des cadres tra­di­tion­nels du mé­tier.

Les nou­velles ré­gle­men­ta­tions, un le­vier d’in­ci­ta­tion

La de­mande en cy­ber-as­su­rance et le dé­ve­lop­pe­ment de nou­veaux mo­dèles s’in­ten­si­fie­ront du fait de l’en­trée en vi­gueur de nou­velles ré­gle­men­ta­tions. Ain­si, la di­rec­tive NIS, à trans­po­ser pour le 9 mai 2018, im­pose des obli­ga­tions de sécurité aux opé­ra­teurs four­nis­sant des ser­vices es­sen­tiels et four­nis­seurs de ser­vices nu­mé­riques et en­cou­rage la co­opé­ra­tion entre les au­to­ri­tés à tra­vers l’eu­rope. Cette di­rec­tive concerne un cercle beau­coup plus large que les seuls opé­ra­teurs d’im­por­tance vi­tale (OIV) ci­blés par la loi fran­çaise de pro­gram­ma­tion mi­li­taire du 18 dé­cembre 2013.

En pa­ral­lèle, le Rè­gle­ment Gé­né­ral de Protection des Don­nées, qui en­tre­ra en vi­gueur le 25 mai 2018, alour­dit les obli­ga­tions de sécurité et crée une obli­ga­tion de no­ti­fier les failles de sécurité. Le non-res­pect de ce rè­gle­ment pour­ra être sanc­tion­né d’une amende ad­mi­nis­tra­tive pou­vant s’éle­ver jus­qu’à 20 mil­lions d’eu­ros ou 4 % du chiffre d’af­faires an­nuel mon­dial to­tal. Ces nou­velles règles ont vo­ca­tion à s’ap­pli­quer à des mil­liers d’en­tre­prises in­no­vantes, à la fois de grands groupes et des PME et TPE, consti­tuant un mar­ché stra­té­gique qui de­vra être ca­pable de sup­por­ter de fortes mon­tées en charge.

Fé­dé­ra­tion eu­ro­péenne des as­so­cia­tions de risk ma­na­gers (Fer­ma), rapport an­nuel 2016, ac­ces­sible via le lien sui­vant: http://www.fer­ma.eu/app/uploads/2016/09/fer­ma-eu­ro­pean-risk-and-in­su­rance-re­port-2016.pdf

Lise Bre­teau,

Avo­cate As­so­ciée, ca­bi­net Os­borne Clarke (@Bre­teau­le­gal)

Lu­cile Beau­pé­rin,

Avo­cate, ca­bi­net Os­borne Clarke

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.