Stratégie

Souscrire une cyber-assurance : conseils et points d'attention

Retrouvez cet article dans le CIO FOCUS n°172 !

Les cyber-assurances, un outil au service de la résilience des organisations

Apparues il y a une quinzaine d’années, les cyber-assurances étaient jusqu’à présent souscrites majoritairement par les très grandes entreprises. Avec la hausse des cyber-attaques, l’outil commence lentement à se démocratiser, et intéresse aussi bien les RSSI que les Risk...

Découvrir

---

Comment se passe le processus de souscription ? Quelles garanties trouve-t-on dans un contrat type de cyber-assurance ? Quel est le rôle des courtiers ? Le point avec les experts.

PublicitéApparues il y a une quinzaine d'années, les cyber-assurances étaient jusqu'à présent souscrites majoritairement par les très grandes entreprises. Avec la hausse des incidents de cybersécurité, l'outil commence lentement à se démocratiser. « Depuis 2017, la prise de conscience se développe sous l'effet de deux phénomènes : d'une part, la vague des ransomwares a montré que toutes les entreprises pouvaient être touchées par des cybermenaces. Cela a permis de remettre sur le devant de la scène les conseils d'hygiène informatique de base. D'autre part, le RGPD impose un certain nombre d'obligations aux entreprises, quelle que soit leur taille, qui peuvent aller jusqu'à repenser le modèle opérationnel. Cela contribue à la prise de conscience des enjeux cyber, notamment en matière de protection des données », constate Astrid-Marie Pirson, directrice de la souscription chez l'assureur Hiscox France.

Néanmoins, le rôle et le fonctionnement de ce type d'assurance restent encore méconnus de beaucoup d'entreprises, qui peinent à appréhender leur niveau d'exposition aux cyber-risques. « Les cyber-événements peuvent avoir des impacts sur les systèmes d'information de production de l'entreprise, pas seulement sur ses données », précise Ezechiel Symenouh, Cyber Risks Practice Leader chez le courtier Gras Savoye Willis Towers Watson. « Les entreprises investissent dans la cybersécurité pour réduire la fréquence des attaques. La cyber-assurance joue un rôle complémentaire, en apportant une couverture de la sévérité. C'est un outil au service des RSSI et directions informatiques », souligne Jean Bayon de la Tour, responsable Cyber pour l'Europe chez le courtier Marsh.

Des recoupements avec d'autres contrats d'assurance

Signe que le marché de la cyber-assurance est encore émergent, beaucoup d'entreprises pensent encore que les contrats classiques IARD (Incendies, Accidents et Risques Divers) couvrent les événements informatiques. Mais attention : « en matière de cyber-risque, il faut bien faire la distinction entre les dommages matériels et immatériels », prévient Jean Bayon de la Tour. « Les dommages matériels sont habituellement couverts par les contrats traditionnels : par exemple, si un robot utilisé en production se fait pirater et provoque des dégâts à son environnement physique, ces dégâts donneront lieu à une indemnisation sur les polices classiques. En revanche, si un malware bloque la chaîne, obligeant l'entreprise à interrompre sa production pendant trois jours, la perte financière associée ne sera pas couverte par les polices traditionnelles, mais le sera par les assurances cyber. Ce type de scénario est rarement envisagé par les entreprises. C'est pourtant une réalité », ajoute-t-il.

PublicitéAutre élément à l'origine de cette croyance, des contrats de responsabilité civile et dommages incluent parfois la couverture de certains risques cyber. « C'est ce que nous appelons une « silent cover » : dans ces contrats, les risques cyber ne sont pas clairement exclus, ou ils sont couverts de façon limitée », explique Ezechiel Symenouh. « Cette situation pose des problèmes aux assureurs, par le cumul des garanties. Actuellement, ces derniers cherchent plutôt à sortir de cette situation. » Ce dernier rappelle également qu'aucun contrat classique ne répond de manière complète à la problématique des cyber-menaces. « Ainsi, la plupart des contrats traditionnels ne proposent pas d'assistance. Or, dans 75% des cas, les cyber-sinistres impliquent des actions de gestion de crise. C'est avant tout ce type de garantie que les entreprises recherchent : l'accès à une hotline, avec un panel d'experts à leur disposition, que ce soit sur le plan informatique, juridique, ou des relations publiques. »

Le volet d'assistance, une garantie essentielle

Quelles sont alors les garanties spécifiques offertes dans le cadre d'une assurance cyber ? « Ce type d'offre repose sur deux piliers : la compensation financière des préjudices subis, mais aussi l'assistance, à travers l'envoi d'experts. Elle couvre à la fois les dommages directs sur le système d'information de l'assuré, et les préjudices éventuels subis par des tiers, comme les clients de ce dernier. C'est l'une des rares garanties qui protège ces deux mondes à la fois », pointe Jean Bayon de la Tour.

Pour Astrid-Marie Pirson, « il y a certaines garanties transverses incontournables dans ce type de police, comme le volet d'assistance. » La prévention tient également une place importante. Hiscox a par exemple développé une formation en ligne destinée aux salariés des petites entreprises. « Ce module a pour objectif d'aider les clients à diminuer leur niveau de risque. Si plus de 80% des employés suivent avec succès cette formation, nous proposons une baisse de la franchise à nos clients », détaille Astrid-Marie Pirson. Viennent ensuite plusieurs volets permettant de limiter l'impact financier des cyber-sinistres sur l'entreprise :

- Un volet couvrant les dommages subis par la société, comme les pertes d'exploitation, mais aussi la cyber-extorsion ou les frais de notification en cas d'atteinte aux données ;

- Un volet couvrant les dommages causés à des tiers, notamment les violations de données personnelles, la fuite de données confidentielles (par exemple des données concernant une opération en cours dans un cabinet de fusions-acquisitions), transmission involontaire de virus ou encore utilisation du système d'information de l'assuré en vue d'attaquer des tiers (pour des attaques par déni de service par exemple). « Ce volet englobe également la notion de cyber-responsabilité pour les sites Web ou sur les réseaux sociaux, avec les risques associés au défacement ou à l'incitation à la haine », précise Astrid-Marie Pirson.

- Un dernier volet permet de couvrir les frais associés aux enquêtes administratives et les sanctions éventuelles pouvant en résulter.

Certains contrats prévoient aussi des garanties spécifiques couvrant le risque de fraude. « Une escroquerie courante comme la fraude au président peut en effet se faire par téléphone, par envoi d'un mail contrefait, ou bien en piratant la messagerie des dirigeants. Il n'y a que dans le dernier cas que le système d'information de l'entreprise est atteint, mais dans les trois cas le modus operandi et les conséquences pour l'entreprise sont très proches des cyber-attaques », illustre Astrid-Marie Pirson.

Du côté des assurés, la neuvième enquête Advisen/Zurich sur la sécurité de l'information et la gestion des cyber-risques révèle que près de 95% de clients désirent une garantie contre les interruptions d'activité. 75% souhaitent également être couverts en cas d'interruption de service chez un de leurs fournisseurs. Le premier risque face auquel les entreprises veulent s'assurer reste cependant les fuites de données (95%).

Vigilance sur certaines clauses préétablies

Comme toute assurance, les contrats cyber ont des limites. Classiquement, celles-ci concernent l'étendue des garanties et ce que l'assureur peut indemniser, qui dépend notamment de ce que l'assuré est en mesure de justifier. « L'indemnisation des assureurs vise à permettre aux entreprises de revenir à l'état antérieur au sinistre. Bien entendu, il ne s'agit pas de laisser un système d'information avec une grosse vulnérabilité, mais le but n'est pas non plus de financer tout un dispositif de cybersécurité », précise Timothée Crespe, expert cyber chez le courtier Aon France.

Une autre limite importante est évoquée par Astrid-Marie Pirson : « les contrats cyber actuels couvrent les pertes financières, pas les dommages matériels et corporels. La FFA (Fédération Française de l'Assurance) s'est intéressée par exemple aux incendies causés par des cyber-attaques, et la recommandation actuelle est plutôt de couvrir ce risque à travers des polices de dommages classiques. »

Par ailleurs, le marché est divisé sur deux sujets : la couverture du risque de sanctions et la prise en charge des demandes de rançons à la suite d'attaques par ransomwares. Certains assureurs hésitent en effet à couvrir ce type de conséquences en cas de cyber-attaque. Dans le cas des sanctions, il n'existe pour l'instant pas de jurisprudence de principe de la Cour de Cassation précisant si celles-ci peuvent être couvertes ou pas. « Seule certitude, si la sanction fait suite à une violation délibérée d'une réglementation, elle n'est pas couverte. En revanche, si une entreprise subit une sanction alors qu'elle a cherché à se mettre en conformité et peut le démontrer, il n'y a pas de position officielle, ni de la CNIL, ni de la FFA ou de la Cour de Cassation, qui interdit d'assurer ce risque », observe Astrid-Marie Pirson. Les enjeux sont similaires pour le cas des rançons, qui peuvent parfois se trouver mêlés à des enjeux de financement du terrorisme. « Dès lors que rien n'interdit aux entreprises de choisir de payer, il n'y a pas de raison d'interdire à l'assureur de les couvrir », estime la directrice de la souscription.

Enfin, début 2019 la firme de conseil spécialisée dans les assurances Mactavish, basée au Royaume-Uni, a provoqué une levée de boucliers sur le marché, en mettant en garde les entreprises contre huit failles rencontrées dans des contrats de cyber-assurance préétablis. Parmi celles-ci figurent notamment des restrictions sur le type d'événement déclencheur d'un sinistre, écartant les causes accidentelles pour se limiter aux actes malveillants, ou encore des clauses excluant la couverture d'incidents sur des systèmes en développement ou en cours de déploiement. Cette étude, ainsi que les réactions suscitées, rappellent la nécessité de rédiger des clauses claires et compréhensibles par l'ensemble des parties prenantes.

Bien définir son niveau de risque et le périmètre à couvrir

L'étape la plus complexe au moment de souscrire une cyber-assurance ne concerne pas tant le processus en tant que tel que la définition du périmètre à assurer. En effet, pour rendre ce type de produit plus accessible, les assureurs ont considérablement simplifié le processus de souscription, notamment pour les PME. « Aujourd'hui, ce n'est pas envisageable de faire trois audits et de soumettre un questionnaire de quinze pages aux clients qui souhaitent ce type de produit. Pour obtenir les informations nécessaires de façon moins douloureuse, nous nous appuyons sur des partenaires qui travaillent sur une approche statistiques des risques par typologie d'entreprise », décrit Astrid-Marie Pirson.

Pour les grands comptes, le processus passe en général par des réunions de souscription, généralement organisées par les courtiers. Pendant celles-ci, les assureurs, parfois accompagnés d'experts, échangent en direct avec les décideurs impliqués dans le processus : DSI, RSSI, Risk managers, parfois des représentants du département financier, du service chargé des assurances, voire même de la direction générale. « Lors de ces réunions, nous passons en revue différents points, comme la gouvernance des risques, la gestion opérationnelle des cyber-événements ainsi que les procédures de réponse aux incidents », explique Ezechiel Symenouh.

Certaines entreprises hésitent à se lancer dans ces démarches, de crainte de se faire dicter leur politique de cybersécurité par les compagnies d'assurance. « Les assureurs ne s'immiscent pas dans le système d'information, ce ne sont pas des prescripteurs », rassure Jean Bayon de la Tour. « Leur démarche est plutôt de comprendre l'exposition au risque de chaque client et ce qui a été mis en face pour la réduire », indique Lari Lehtonen, responsable de l'équipe cyber risques chez Marsh. « En théorie, les assureurs doivent se faire un avis sur le niveau de sécurité pour évaluer la prime. Mais c'est très compliqué de définir des critères pour établir si un système d'information est bien sécurisé, les organisations étant très diverses. Pour les PME, les critères restent assez standard. Pour les grands comptes, les risques sont traités au cas par cas. Aujourd'hui, les assureurs sont plus dans une approche qualitative que quantitative. Plus le RSSI fait du bon travail, plus les primes seront faibles. », complète Jean Bayon de la Tour. « Il ne faut pas perdre de vue que quoi qu'une société fasse, elle ne peut pas se prémunir complètement face aux cyber-risques. Sa politique de sécurité va juste jouer sur la fréquence des attaques : tout le monde se fait hacker, même la NSA. Le risque n'est jamais nul », insiste Lari Lehtonen.

Intégrer la cyber-assurance aux dispositifs de résilience

Pour bien évaluer son exposition au risque, Timothée Crespe conseille de bâtir des scénarios en interne afin d'évaluer les pertes potentielles. Sur ces étapes, RSSI et Risk Managers ont un rôle essentiel à jouer, pour veiller à rédiger le cahier des charges de la manière la plus claire possible. Timothée Crespe évoque aussi la nécessité d'effectuer des arbitrages chez les assurés, afin de répartir les différentes primes d'assurance de façon pertinente. « Les cyber risques concernent avant tout des actifs intangibles, essentiellement les données. C'est surtout là que les assurés cherchent à se couvrir, plutôt que sur le hardware. En effet, en cas de problème sur l'infrastructure, une entreprise peut généralement rétablir assez vite ses activités si ses données sont disponibles. En revanche, si ce n'est pas le cas, les employés ne peuvent tout simplement pas travailler. »

Enfin, il faut prévoir en amont les éléments à collecter en cas d'incident, afin de pouvoir fournir les justificatifs nécessaires pour la prise en charge. « Pour les pertes d'exploitation, c'est assez simple, les états financiers permettent de les chiffrer. En revanche, si l'entreprise fait appel à des prestataires, il faut bien conserver les différentes factures et lister l'ensemble des frais engagés », insiste Timothée Crespe. Ce dernier rappelle également, à juste titre, qu'il faut considérer la cyber-assurance comme une partie intégrante des processus de gestion des incidents cyber, destinée à assurer la résilience de l'entreprise.

Dans son enquête annuelle sur le marché de l'assurance, l'AMRAE met en avant le rôle de facilitateur du courtier dans la relation assureur/assuré. Face aux cyber-risques, cette relation tripartite « prend toute sa dimension pour permettre un transfert de risque efficace et éclairé. »

Les courtiers, un accompagnement en amont comme en aval

Pour Ezechiel Symenouh, dans le domaine de la cyber-assurance les courtiers sortent de leur rôle traditionnel, pour aller vers l'accompagnement en amont. « Nous cherchons à sensibiliser nos clients. Nous avons par exemple des consultants qui cartographient les risques et qui évaluent la maturité des employés en matière de sécurité informatique. Nous permettons aussi aux clients de se benchmarker par rapport à leurs pairs. » Tout comme les assureurs, les courtiers aident également les organisations à quantifier le risque, à l'aide d'outils et de modèles actuariels. « Nous expliquons ce qu'apporte une cyber-assurance par rapport aux assurances responsabilité et dommages, comment elle peut compléter les contrats existants », relate Timothée Crespe.

Dans leur activité classique, les sociétés de courtage aident les clients à construire leur cahier des charges et soumettent ce dernier aux assureurs. « Nous aidons les Risk Managers à mobiliser en interne tous les acteurs nécessaires afin d'engager le processus de souscription », précise Timothée Crespe. Les courtiers évaluent également les assureurs sur des critères qualitatifs, examinant leur performance en gestion de crise et en gestion des sinistres. « Pour la gestion des sinistres, nous prenons en compte trois grands critères : la présence d'un bon centre d'appel, disponible 24 heures sur 24 et dans les langues des clients ; les experts techniques, aussi bien en cybersécurité que sur les aspects juridiques ; et enfin l'existence d'un réseau international capable de traiter les risques au niveau global, pour les clients qui ont des filiales à l'étranger », détaille Jean Bayon de la Tour.

Enfin, en cas de sinistre avéré, les courtiers assistent les clients dans la gestion des sinistres, en les aidant notamment à évaluer les pertes associées à l'incident, afin d'être le mieux indemnisés possible. « Souvent, les clients n'ont pas une idée précise de la perte qu'ils subissent », observe Ezechiel Symenouh. « Nos experts les aident à quantifier cette dernière de manière précise, afin de présenter les éléments nécessaires pour obtenir de l'assureur la meilleure indemnisation ». 

Tous ces échanges révèlent une hausse de la maturité du marché. Cependant, il ne faut pas perdre de vue que la cyber-assurance est amenée à évoluer. Celle-ci doit en effet s'ajuster aux attentes d'assurés mieux formés à la compréhension de ces menaces, à l'augmentation des cyber-attaques et à la multiplicité des formes que peuvent prendre les risques cyber. « IoT, Blockchain, véhicules autonomes... Avec la transformation numérique, tous les métiers sont concernés et voient leur exposition au cyber-risque augmenter. Demain, les autres branches de l'assurance peuvent elles-aussi être amenées à évoluer avec ce risque cyber, sans forcément tout transférer dans le périmètre de la cyber-assurance », conclut Timothée Crespe.

Article rédigé par

Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,

Partager cet article