Juridique

Comment assurer le cyber-risque ?

Comment assurer le cyber-risque ?
De gauche à droite : Nicolas Arpagian (Orange Cyberdefense), Valérie Lafarge-Sarkozy (avocate), Bernard Spitz (président de la FFA), Philippe Cotelle (Airbus Defence and Space).

Le Club des Juristes vient de publier un rapport sur l'assurance des cyber-risques, issu des travaux de sa commission cyber-risques. En France, le marché est minuscule et concentré sur les grands comptes. Et il manque singulièrement de transparence.

PublicitéCréé en 2007, le Club des Juristes réunit des magistrats, des avocats, des notaires, des professeurs et des représentants d'entreprises pour mener des réflexions prospectives autour des questions juridiques. Grâce à sa quarantaine de membres, il vise également à encourager le débat juridique et à inclure celui-ci dans le débat public. Sa commission cyber-risques a mené une réflexion autour de l'assurance de ces risques et a délivré ses conclusions lors d'un colloque le 18 janvier 2018.
Ces conclusions sont présentées dans un rapport « Assurer le Risque Cyber » qui a mobilisé plus d'une vingtaine d'experts de tous horizons. Ce rapport existe en versions française et anglaise, chacune d'un côté du recueil avec reliure tête-bêche. Pour le présenter, quatre membres de la commission ont donc tenu une conférence de presse le jeudi 18 janvier 2018 au Cercle National des Armées à Paris. Il s'agissait de Bernard Spitz (Président de la Commission Cyber Risk du Club des juristes, Président de la Fédération Française de l'Assurance, la FFA) ; Valérie Lafarge-Sarkozy (Secrétaire générale de la Commission Cyber Risk du Club des juristes, Avocate associée au cabinet Altana), Philippe Cotelle (Head of Insurance Risk Management chez Airbus Defence and Space) et Nicolas Arpagian (Directeur de la Stratégie et des Affaires publiques chez Orange Cyberdefense). Ce document est le premier tome d'une série de trois. Le deuxième concernera l'état du droit et le troisième les mesures de prévention et d'éducation.

Un risque connu, une ampleur surprenante

Bien sûr, la présentation n'a pas évité ce qui, pour des spécialistes, ressemble à défoncer des portes ouvertes. Mais le premier problème est, précisément, que les truismes n'en sont pas pour tout le monde. « Il n'existe pas de technologie univoque, le numérique créé donc à la fois des opportunités et des risques » a ainsi rappelé Bernard Spitz. Il a admis : « si le risque cyber en lui-même n'a pas surpris par son existence, son développement et la rapidité de celui-ci ont effectivement été surprenants. » Le risque concerne toutes les entreprises mais toutes n'ont pas la capacité à assumer ce risque. « Nous sommes le 18 janvier et, depuis le début d'année, nous avons eu trois failles majeures dont deux sur les processeurs Intel [a priori non-exploitées, NDLR] et un vol massif des données d'un milliard d'Indiens par le piratage d'une base de données du gouvernement indien » a soupiré Bernard Spitz.
Quelle est la nature exacte des risques ? Selon l'avocate Valérie Lafarge-Sarkozy, la majorité des dossiers traités par la police concerne les ransomwares. Les auteurs de ces attaques ne sont d'ailleurs presque jamais réellement inquiétés ou arrêtés. Le profil de ces criminels est particulier : « la plupart ne volerait pas un Carambar en supermarché mais commettent des crimes en se cachant derrière des ordinateurs », explique-t-elle. Dans un dossier de fraude au Président, il s'est avéré que les pirates étaient présents dans le SI depuis 230 jours, temps mis à contribution pour maîtriser les habitudes des dirigeants et identifier les circuits de décision. Mais, bien sûr, l'essentiel des risques ont un aspect interne, souvent d'imprudence comme, par exemple, des personnes mal formées qui cliquent sur une pièce jointe corrompue d'un mail.

PublicitéVictime à l'insu de son plein gré

La victime de cyber-criminalité peut en effet, a rappelé Nicolas Arpagian, ignorer très longtemps sont statut. Dans le cas du vol de données, tant qu'aucun indice ne montre que des données ont été captées à l'extérieur, il est possible que personne ne s'en rende compte. Pour lui, « dans le monde économique, il y a des chaînes et les criminels vont attaquer le maillon faible. » Par exemple, un grand groupe travaille avec des ETI qui vont sous-traiter à des PME qui vont embaucher des indépendants. Il suffit de trouver celui qui est le plus simple à attaquer pour se glisser dans la chaîne et parfois remonter très haut.
Mettre des barreaux aux fenêtres n'a pas de sens pour Nicolas Arpagian. Il faut évaluer ce qui a de la valeur et les risques associés puis évaluer la protection adéquate et pertinente, au coût adéquat et pertinent. « Il n'existe pas de modèle duplicable d'une entreprise à une autre » a-t-il insisté. Pour Valérie Lafarge-Sarkozy, si une analyse de risque est faite, que des mesures ont été prises en conséquences, le dirigeant peut espérer se dégager de sa responsabilité. Sinon... la faute est inévitable. Un dirigeant doit se renseigner sur ces risques. Et un courtier a aussi, dans le cadre de son obligation de conseil, à alerter sur une absence d'assurance.

Qualifier le risque avant de l'assurer

La première étape de l'intervention d'un assureur, pour qualifier et mesurer le risque, sera de mener un audit et de cartographier les risques. Si la sécurité des SI représente un coût de l'ordre de 4 à 6 % du budget de la DSI en général selon Nicolas Arpagian, les assurances peuvent ne pas être très onéreuses selon Philippe Cotelle. Des offres low cost existent ainsi pour PME, sur étagère, pour un coût de l'ordre de 250 euros par an. Des assurances plus complètes ont des coûts de l'ordre de 1000 à 2000 euros par an. Pour des entreprises plus importantes, les coûts vont de 0,3 à 0,7 % du capital assuré. Assurance et ré-assurance « cyber » représentent des montants de primes cumulés de l'ordre de 3 à 4 milliards de dollars au niveau mondial mais 90 % se concentrent aux Etats-Unis. En France, le marché est minuscule et concentré sur les grands comptes. Le monde anglo-saxon cultive des assurances spécifiques, le monde européen plutôt des assurances générales comprenant un chapitre cyber. Mais, du coup, les offres ne sont pas forcément très claires sur leurs étendues. Une véritable clarification a ainsi été réclamée par les intervenants.
Si le risque « cyber » est un risque d'entreprise puisqu'il impacte la totalité des activités, l'assurance est évidemment négociée par le gestionnaire des risques. Mais il a une obligation de travail collaboratif avec le RSSI (aspects techniques), la direction juridique (risques de conformité, risques contractuels) et, surtout, les métiers. « Si les métiers sont tentés de contourner des mesures de sécurité contraignantes, le risque n'en est qu'augmenté » a ainsi rappelé Nicolas Arpagian. Modéliser ensuite le risque permet de calculer la prime d'assurance. Mais Bernard Spitz a pointé : « contrairement aux cambriolages, les cyber-risques peuvent impacter beaucoup d'entreprises en même temps (on parle de risque systémique) et, surtout, la masse assurable n'est pas nécessairement clairement définie. »

Un vademecum de l'assurance des cyber-risques

Le guide conçu par le Club des Juristes vise à guider les entreprises dans leur démarche de couverture assurantielle des cyber-risques. Il commence par rappeler la nature des risques concernés avant de s'attaquer à une étude du marché, offre puis demande. Vient ensuite la description d'une méthodologie pour optimiser la couverture assurantielle des cyber-risques. Enfin, l'ouvrage s'achève par une dizaine de préconisations. La plupart concernent les acteurs publics et les gestionnaires de risques. Mais la première est dans le champ du RSSI et du DSI : il s'agit de développer la culture du cyber-risque.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis