Philippe Cotelle (AMRAE) : « l'assurance cyber est un outil vraiment intéressant, mais difficile à manipuler »
Les cyber-assurances, un outil au service de la résilience des organisations
Apparues il y a une quinzaine d’années, les cyber-assurances étaient jusqu’à présent souscrites majoritairement par les très grandes entreprises. Avec la hausse des cyber-attaques, l’outil commence lentement à se démocratiser, et intéresse aussi bien les RSSI que les Risk...
DécouvrirAdministrateur de l'AMRAE, Philippe Cotelle préside la Commission Systèmes d'information de l'association. Risk Manager d'Airbus Defense & Space, il supervise notamment les garanties d'assurance en cyber-risques de l'ensemble du groupe. Pour CIO, il fait le point sur les enjeux et le marché actuel de la cyber-assurance.
PublicitéCIO : Quel est le niveau de maturité des entreprises en matière de cyber-assurance ?
Philippe Cotelle : Dans les grandes entreprises, la prise de conscience du risque cyber est établie, aussi bien au niveau des responsables de la sécurité que du comité exécutif. Presque tous les grands groupes ont souscrit une cyber-assurance. Les dirigeants ont compris que la médiatisation des incidents de cybersécurité pouvait les mettre directement en cause : l'assurance permet de montrer qu'ils ont pris en compte de façon effective ce type de risques.
Les entreprises de taille intermédiaire n'ont pas encore atteint le même niveau de maturité, même si celle-ci se développe.
En revanche, il y a une vraie nécessité de prendre en compte ce problème dans les PME. Les petites entreprises rencontrent des difficultés à évaluer et à apprécier les cyber-risques, d'autant plus que les PME victimes de cyberattaques font rarement la Une des journaux, même en cas d'impact majeur.
CIO : Pourquoi ces difficultés dans les PME ?
Philippe Cotelle : Le risque cyber est diffus, transverse et multiforme. Il menace aussi bien les données que la capacité de production d'une entreprise, sa propriété intellectuelle, et peut même mettre en jeu des certifications sur les biens et services délivrés.
Pour les dirigeants d'entreprises de taille moyenne, confrontés à une multitude d'autres risques, ce côté protéiforme rend le cyber-risque complexe à appréhender. De ce fait, sa priorité demeure moindre, et l'intérêt de souscrire une assurance supplémentaire reste à démontrer. La prise de conscience progresse très lentement, et la pénétration du marché des cyber-assurances dans les PME est encore faible.
Par ailleurs, l'assurance cyber est un outil vraiment intéressant, mais difficile à manipuler car complexe. Elle couvre en effet un risque transverse, avec des impacts directs sur la capacité de l'entreprise à produire, à vendre ou à maintenir ses produits et services, mais aussi des conséquences en matière de protection des données personnelles des clients, sans compter de potentiels dommages à des tiers. Le plus compliqué pour un dirigeant de PME n'est pas de souscrire, mais de définir ce qu'il veut garantir financièrement.
CIO : Comment sensibiliser davantage les entreprises aux cybermenaces ?
Philippe Cotelle : L'AMRAE - avec quelques autres acteurs de référence - travaille beaucoup sur la sensibilisation des entreprises au cyber-risque, car celui-ci devient un enjeu majeur avec la digitalisation de l'économie, qui menace à la fois la pérennité et la résilience des organisations. Nous voulons accélérer la prise de conscience. Dans cette optique, l'association a entrepris des travaux avec l'ANSSI, afin de bâtir ce qui sera le guide de référence sur le risk management du numérique. Le but est d'aider toutes les entreprises, dont les PME et ETI, à mieux appréhender ce risque, en détaillant les concepts nécessaires à l'appropriation et à la maîtrise du risque cyber.
PublicitéDans ce guide, l'AMRAE partage des techniques de gestion du risque applicables au risque numérique, et l'ANSSI apporte sa crédibilité technique. Le but est d'assurer la cohérence des politiques de sécurité du SI dans le cadre d'une approche globale de risk management. La cyber-assurance devient un outil qui intègre cet aspect-là. Ce n'est pas l'Alpha et l'Omega pour gérer le risque numérique, et ce n'est pas non plus une voie facile : il faut avant tout comprendre son exposition au risque, afin que la couverture souscrite corresponde bien à la situation réelle.
CIO : Quel rôle joue la cyber-assurance par rapport à la politique de cybersécurité ?
Philippe Cotelle : Le cyber-risque est un vrai risque d'entreprise. La réduction et la prévention des cyber-risques forment la priorité, la cyber-assurance vient en complément.
Pour convaincre la direction, il faut lui fournir des arguments concrets, en quantifiant le degré d'exposition de l'entreprise aux cyber-risques. Pour cela, il ne faut pas seulement le RSSI autour de la table, mais l'ensemble des responsables métier. Il revient à ces derniers d'estimer et de chiffrer l'impact : si par exemple, la direction commerciale ne peut pas réaliser de ventes pendant quatre jours, ou bien la DRH se retrouve dans l'impossibilité de verser les salaires...
CIO : A l'heure actuelle, à quels enjeux sont confrontées les entreprises qui souhaitent mettre en place ce type de mécanisme ?
Philippe Cotelle : La souscription d'un contrat de cyber-assurance représente un double enjeu pour les clients, à la fois en termes d'offre et d'efficacité.
Au niveau de l'offre, il n'existe pas vraiment de contrat standard aujourd'hui. Une multiplicité de couvertures est possible : certains contrats se limitent à mettre à disposition des experts en cas de crise, d'autres couvrent les frais de notification et d'indemnisation en cas d'atteinte à des tiers sans assurer la partie « amende », probablement difficile à assurer du point de vue réglementaire. Des contrats indemnisent les pertes d'exploitation réelles et potentielles en cas d'interruption des activités, d'autres les frais de récupération des données. D'autres enfin peuvent couvrir les éventuelles pénalités de retard dues aux clients si un cyber-incident bloque la production.
Par ailleurs, certains contrats classiques couvrent également le risque cyber ou certains de ses impacts (dommages, responsabilité...), de manière explicite ou silencieuse.
Concernant l'efficacité, la meilleure publicité pour la cyber-assurance, c'est une entreprise bien indemnisée après avoir subi une attaque avec un impact important. Voir un directeur général témoigner que son assurance l'a aidé à redémarrer après une attaque de grande ampleur ou n'a pas accru sa fragilité à un moment de forte tension aiderait fortement à promouvoir la cyber-assurance. Or, force est de constater qu'à ce jour les grands cyber-sinistrés les plus médiatisés n'ont pas été indemnisés de façon optimale, ou qu'ils avaient suffisamment de ressources financières pour passer le cap.
Les assureurs, pour accorder leurs garanties financières peuvent être très directifs, à l'instar de ce qu'ils font en matière de prévention incendie. Or aujourd'hui, ils ne sont pas en position de pouvoir imposer des standards en matière de cybersécurité.
CIO : Quelles sont les étapes importantes lors de la souscription d'un tel contrat ?
Philippe Cotelle : En fonction de l'activité de l'entreprise, de sa taille et de nombreux autres paramètres, son niveau d'exposition au cyber-risque varie fortement. Elle doit s'assurer que le contrat de cyber-assurance comporte bien les modules adaptés à sa situation. Il est donc primordial que tout le management prenne le temps de bien hiérarchiser les menaces, afin d'aller chercher ensuite la bonne couverture. L'expression des besoins est une phase cruciale. Il faut de la clarté, à la fois pour avoir la bonne couverture et pour obtenir le budget nécessaire.
Établir une liste la plus précise possible des cyber-risques auxquels l'entreprise est exposée, en précisant à la fois la nature et le montant de l'exposition, est un travail compliqué. Il faut trouver une personne suffisamment motivée et investie pour mener à bien cette tâche.
La FERMA (Federation of European Risk Management Associations) a récemment publié un document rédigé avec les assureurs et les courtiers, intitulé « Preparing for cyber insurance », qui aide les entreprises à identifier les différents modules possibles et à faire un choix éclairé.
CIO : Comment percevez-vous la tendance du marché du côté des assureurs ?
Philippe Cotelle : Les assureurs n'ont pas la capacité d'assurance suffisante pour couvrir le risque du moment. En revanche, ils ont une capacité suffisante pour couvrir la demande actuelle. En France, le marché s'élève à environ 500 millions d'euros de primes.
La tendance est difficile à prévoir, car s'il y a un réel intérêt des assureurs à développer cette branche, ceux-ci sont également inquiets du risque qu'eux-mêmes prennent à couvrir les cyber-risques. Il y a une vraie prise de conscience aussi chez ces derniers que le digital est partout, et que donc le risque est partout. Par ailleurs, les réassureurs sont en train de mettre la pression pour clarifier les intentions des différentes parties : la capacité offerte va sans doute se stabiliser quelque temps.
La cyber-assurance est aussi un défi pour les assureurs, car ce type de contrat les oblige à casser les silos traditionnels de l'assurance, avec d'un côté l'assurance dommages, de l'autre la responsabilité civile ou l'assurance transports. Actuellement, ces problématiques sont confiées à différents départements, qui ne se parlent pas. Or, dans le cas du cyber-risque, nous avons un déclencheur technique et des impacts multiples. Un contrat de cyber-assurance doit couvrir dans un seul texte des conséquences gérées dans des branches différentes. Heureusement, en face, le Risk Manager a cette approche transversale.
CIO : Est-ce que les évolutions réglementaires ou la pression du marché peuvent inciter les entreprises à souscrire une cyber-assurance ?
Philippe Cotelle : En cas d'attaque, les entreprises qui ont mis en place une gouvernance des risques doivent s'attendre à être interrogées sur les mesures qu'elles ont mis en place pour réduire les conséquences de l'attaque. En particulier, il faut se demander qui peut vous reprocher de ne pas avoir travaillé sur ce risque : votre banquier, vos clients, vos actionnaires, vos salariés... Rappelons-le : une entreprise dont les risques sont gérés est durable et responsable.
Par ailleurs, les grands groupes ont également compris que leur exposition aux risques cyber dépendait aussi de leur supply chain et de leurs sous-traitants. Beaucoup d'attaques qui les visent ciblent leurs fournisseurs. Comme ils en subissent l'impact, ils sont en train de réfléchir pour imposer des obligations à leurs sous-traitants, à la fois en termes de cybersécurité et de cyber-assurance. Ces dernières favorisent en effet le retour à la normale chez les fournisseurs, en sécurisant des ressources techniques en cas de crise.
Il y a aussi une évolution au niveau européen pour mettre en place une certification de cybersécurité. Cette tendance peut amener les assureurs à accompagner ce mouvement. Les agences de notation commencent aussi à prendre en compte le cyber-risque, comme le montre par exemple l'abaissement de la note d'Equifax par Moody's à la suite des vols de données subis en 2017.
Il est également question d'étendre les normes RSE pour englober les enjeux numériques, parmi lesquels les cyber-risques.
Enfin, des réglementations comme le RGPD médiatisent certains aspects des risques cyber. Si les cyber-assurances ne prennent pas en charge les amendes en cas de non-conformité, elles peuvent aider les entreprises à réparer les dommages potentiels causés aux clients. A ce titre, c'est une opportunité pour développer la prise de conscience.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire