Juridique

Savoir s'assurer contre les cyber-risques

Retrouvez cet article dans le CIO FOCUS n°134 !

L'organisation de l'IT bousculée dans les entreprises

La transformation numérique de l'entreprise s'accompagne d'une transformation des rôles et de l'organisation. Ainsi naissent de nouveaux rôles et le rôle traditionnel du DSI évolue.Cette transformation utilise également des nouvelles technologies qui permettent des usages qui ne pouvaient pas être...

Découvrir

---

Les cyber-risques s'accroissent mais peuvent être couverts par des assurances, avec des conditions et des limites, comme d'autres risques.

PublicitéLa place croissante des systèmes d'information dans le coeur d'activité des entreprises entraîne de fait un risque accru sur l'activité même du fait des cyber-risques. Et ces cyber-risques sont eux-mêmes croissants. Face à ce double phénomène d'un plus grand nombre de cyber-risques et de conséquences plus lourdes à chaque réalisation d'un cyber-risque, les entreprises peuvent recourir à des assurances. Cette manière d'externaliser le risque se développe également pour les systèmes d'informations.
Pour commencer, qu'est-ce qui est assurable en matière de système d'information ? La réponse n'est pas unique et les contrats peuvent couvrir des éléments et des risques très différents. « Nous pouvons assurer d'un côté le système d'information lui-même, qu'il soit interne ou externalisé, de l'autre les données » spécifie Lucien Mounier, souscripteur cyber-risque chez Beazley. Beazley se définit comme « assureur de niche » et il intervient sur des secteurs comme l'aviation, le spatial, la marine et, donc, les cyber-risques. Présent dans le monde entier, il collecte environ deux milliards de dollars de primes dont 300 millions sur les seuls cyber-risques, activité en pleine croissance. Les clients sont autant des PME présentes dans les territoires où la société a des implantations (France, Etats-Unis, Grande-Bretagne, Canada...) que des multinationales.

Des risques à couvrir également pour leurs conséquences

De nombreux secteurs sont susceptibles de recourir à une assurance contre les cyber-risques. On peut bien sûr citer les sites de e-commerce mais, historiquement, les plus fréquents restent la grande distribution, la santé et les institutions financières. Dans chacun de ces secteurs, une interruption de l'exploitation entraîne des pertes de chiffre d'affaires immédiates et importantes. Si des produits sont périssables et que la chaîne de production est bloquée, les matières premières seront également perdues.
Ce sont donc à la fois des événements qui doivent être assurés mais surtout leurs conséquences. Lucien Mounier précise : « nous pouvons assurer le SI et les données contre de la malveillance interne (salarié mécontent...) ou externe (piratage...) et aussi contre de la négligence interne. La négligence des prestataires est un sujet de responsabilité civile de ceux-ci. De ce fait, en principe, on l'écarte des contrats concernant les cyber-risques. »

Des conséquences à réparer

Mais que signifie couvrir les conséquences de la réalisation d'un cyber-risque ? Il y a tout d'abord la crise elle-même. « Les premières heures d'une crise sont critiques » rappelle Lucien Mounier. Il va donc falloir traiter les frais d'experts pour résoudre l'incident et restaurer le SI mais aussi les honoraires des experts en forensique, les communicants prenant en charge la communication de crise, les frais d'accompagnement, les avocats, les frais de notification aux autorités et aux personnes concernées dans le cas d'attaque sur des données personnelles, la prise en charge de la rançon dans le cas d'un ransomware, etc.
Au delà de l'incident en lui-même, une fois la crise résolue, il faut tirer le bilan des pertes. Perte sur le chiffre d'affaires, perte d'exploitation, perte de réputation et de valeur de la marque, etc. Ces différentes pertes peuvent être couvertes par une police d'assurance. Et il ne faut pas oublier, surtout avec la nouvelle réglementation européenne, la responsabilité civile des entreprises s'il y a divulgation de données personnelles ou si les moyens techniques de l'entreprise (serveurs, terminaux...) sont utilisés pour mener des attaques contre un tiers. Par contre, rappelons que les amendes pénales ou administratives ne peuvent en aucun cas être couvertes par une assurance : il y a une interdiction légale à ce sujet.

PublicitéAccompagner les entreprises en cas d'incident

« Les grands groupes sont organisés, ils ont des équipes internes, des partenaires et des procédures prévus pour faire face aux incidents, mais ce n'est que rarement le cas dans les PME » souligne Lucien Mounier. Un assureur comme Beazley peut donc prévoir une offre qui n'est pas sans rappeler les Europ Assistance ou Mondial assistance pour les voyageurs : un numéro d'appel unique pour les urgences permettant de contacter un coordinateur de crise qui va lui-même déclencher les recours aux différents experts nécessaires. Lucien Mounier insiste : « il faut réagir vite. » Depuis janvier 2016, Beazley a traité plus de 1500 incidents et il n'est pas exclu d'atteindre les 2000 avant la fin de l'année. En 2014, il n'y avait eu qu'environ 800 incidents et 1200 en 2015. Si, bien sûr, le nombre de clients augmente, c'est aussi le cas pour le nombre d'incidents par client. La menace « à la mode » est bien sûr le ransomware : 10 cas en 2014, 30 en 2015 et 20 à 30 par mois en 2016 !
Mais qui va contacter l'assureur ou être son interlocuteur dans une entreprise ? Bien entendu, tout dépend de la taille de celle-ci. Il s'agit en général de la personne qui doit gérer les risques. Il peut donc s'agir d'un gestionnaire de risques dédié, du directeur de la gestion des risques, du directeur juridique voire d'un directeur général. Le DSI n'est donc normalement pas en première ligne mais plutôt en deuxième. « C'est beaucoup plus compliqué d'assurer des cyber-risques si le DSI et le RSSI ne sont pas pleinement impliqués dans la démarche, même si, initialement, nous parlons des langues différente » avertit cependant Lucien Mounier.

La maturité des entreprises compte pour assurer les cyber-risques

Pour couvrir un risque, l'assureur doit évidemment l'estimer. Pour Lucien Mounier, il y a deux facteurs essentiels : « la maturité de l'entreprise vis-à-vis de la cybersécurité et ses activités impliquant des scénarios de risques. » L'approche de gestion des risques va donc varier selon les cas. « Pour une PME, l'approche est assez standardisée, avec un questionnaire banalisé » remarque Lucien Mounier. Si la démarche ressemble au questionnaire de santé d'une assurance-vie, il y a une grosse différence que relève Lucien Mounier : « nous n'écartons personne. Le but est d'estimer la maturité de l'entreprise et, selon celle-ci, de fixer les conditions de l'assurance, le montant de la prime et celui de la franchise. Mais, quelle que soit la maturité, même excellente, il existera toujours un risque. »
Dans les grands groupes, l'approche sera plus individualisée. « Nous organisons des réunions avec le DSI, le RSSI, le gestionnaire des risques, le directeur juridique... le sujet n'est pas seulement IT mais concerne bien la continuité d'exploitation et la responsabilité civile » raconte Lucien Mounier. Le but est d'estimer le niveau de maturité et les tendances d'évolution. La question étant bien sûr d'examiner la gouvernance tant des systèmes d'information en général que de leur sécurité plus particulièrement.
Si la maturité de l'entreprise est fondamentale, Lucien Mounier constate : « si une entreprise va voir un assureur, c'est en soi déjà une preuve de maturité. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article