16/07/2019
6 min de lecture
Consulting

Cyber-assurance : nouveau défi des assureurs ?

Cher lecteur, votre curiosité va vous coûter bien cher. A la lecture de ce blog, un virus s’est introduit sur votre poste informatique et sur le réseau de votre entreprise. Celui-ci sera bloqué d’ici 5 minutes et toutes vos données seront inaccessibles si vous ne payez par une rançon à l’auteur de cet article.
Rassurez-vous, ceci n’est qu’un subterfuge pour capter votre attention.
Il n’en demeure pas moins que ces scénarii de cyber-extorsion sont de plus en plus fréquents.

92% des entreprises touchées par la cyber-criminalité
Selon le baromètre 2018 du CESIN, Club des experts de la sécurité, de l’information et du numérique, la cyber-criminalité augmente fortement (+48%) et touche de plein fouet les entreprises puisque 92% ont déjà été attaquées une ou plusieurs fois.

Ces cyber-attaques peuvent avoir différents impacts : altération de l’intégrité du système d’information, perte ou blocage des données ou des applications, elles peuvent empêcher le fonctionnement de l’entreprise et générer des pertes d’exploitation. Au-delà, si les données des clients, des collaborateurs ou des fournisseurs sont touchées et que leur confidentialité est mise en cause, l’entreprise peut avoir à les dédommager. En 2017, Wannacry a fait plus de 200 000 victimes dont Renault entrainant une mise à l’arrêt pour plusieurs de ses sites de production. Saint Gobain a estimé que la cyber-attaque NotPetya avait eu un impact d’environ 250 millions d’euros sur ses ventes et de 80 millions d’euros sur son résultat d’exploitation.
Les exemples se multiplient et les impacts augmentent chaque année. Avec l’entrée en vigueur en mai 2018 du Règlement Général sur la Protection des Données (RGPD) qui impose aux entreprises de garantir la sécurité des données de leurs employés, partenaires et clients, la sanction en cas d’infraction peut représenter jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel.
Au global, entre le blocage des activités, la perte de clientèle et de chiffre d’affaires, l’atteinte à l’image de l’entreprise, les frais juridiques et de remise en état, les coûts de notification, les dégâts peuvent vite s’élever à plusieurs centaines de millions d’euros.

Un enjeu vital sur lequel les assureurs gagnent en maturité
Se protéger des cyber-risques n’est donc plus une option pour les entreprises. Mais comment le faire ?
Les experts estiment que 3 types d’outils ou d’actions sont nécessaires : ceux qui permettent la prévention et limitent les risques d’attaque ; ceux qui identifient et diagnostiquent les anomalies et attaques ; enfin ceux qui corrigent ou permettent de remédier aux impacts des cyber-crimes.
Face à ce risque croissant, les assureurs se sont mobilisés pour créer des offres spécifiques et accompagner les entreprises sur ces trois types d’actions.
Comme pour tout nouveau risque, ce n’est pas chose facile. La spécificité des impacts des cyber-risques et de leur traitement, leur caractère volatile et très évolutif nécessite des expertises encore peu répandues. En outre, leur tarification est malaisée du fait du faible historique de données sur ce type de sinistres et sur leur coût, et de la frilosité des entreprises à communiquer sur les attaques dont elles ont fait l’objet.
Les offres de base reposent sur un socle combinant des garanties dommages et des garanties responsabilité civile.
Les garanties « dommages » couvrent les conséquences matérielles et immatérielles du dommage : équipement, perte d’exploitation, frais d’expertise informatique, de reconstitution des données, de notifications règlementaires ou encore de préservation d’image, ...
Les garanties « responsabilité civile » couvrent la responsabilité de l’entreprise vis à vis de tiers pour l’atteinte aux données et à la sécurité du système d’information, la responsabilité pour les préjudices d’images, les dommages et les intérêts punitifs, les frais d’enquête, …

Les services au cœur des cyber-assurances
Pour accompagner au mieux leurs clients et se différencier, les assureurs s’efforcent d’enrichir leurs offres avec des prestations complémentaires.
Certains font de la simple mise en relation avec des experts : cabinets d’avocats, spécialistes en communication de crise et e-réputation, experts techniques, …
D’autres ont mis en place des partenariats avec des spécialistes de la cyber-sécurité. Ainsi, Generali s’est allié à Europ Assistance pour la coordination et la gestion de crise et à Engie Ineo pour le diagnostic en cas d’attaque et la reconstitution des données. Axa travaille notamment avec Yogosha, une startup française spécialisée dans le « bug bounty » (chasse aux failles d’un système informatique) et SecurityScorecard, une start-up américaine, qui teste les systèmes de sécurité des entreprises et leur attribue une note selon la solidité du système. Allianz s’est attaché les services de Guardea pour le diagnostic et la remédiation en cas d’attaque.
Leur promesse est d’accompagner de bout en bout leur client lors de la survenance d’un cyber-incident à la fois en termes d’assistance, gestion de crise, réparation et indemnisation.
Quelques assureurs vont encore plus loin et réalisent des audits ou des « stress tests » en amont de leur proposition d’assurance. Leur objectif est double : d’une part pouvoir calibrer leur proposition d’assurance en fonction d’une cartographie objective des risques, d’autre part de sensibiliser et encourager les entreprises à mieux se protéger.

Indéniablement, ce secteur est amené à exploser dans les prochaines années. Le baromètre 2019 des risques émergents publié par la Fédération Française de l’Assurance (FFA) a d’ailleurs positionné la cyber-criminalité sur la plus haute marche de son podium.

C’est d’autant plus le cas que peu d’entreprises encore sont efficacement protégées. Une étude menée en 2019 par la compagnie d’assurance Hiscox auprès de 5400 entreprises dans 7 pays révèle que seule une entreprise sur dix (10%) a obtenu le niveau « expert » aux tests visant à évaluer leur niveau de préparation aux risques cyber alors que les trois quarts des entreprises, et même 81% en France, ont obtenu le niveau « novice »

Des défis multiples
Dans ce contexte, les assureurs sont confrontés à des défis multiples. Ils doivent :
• participer à la prise de conscience des entreprises de l’importance croissante de ce risque et de la nécessité de se protéger et de savoir le gérer,
• apprendre à évaluer l’exposition aux cyber-risques de leurs prospects, à cartographier leurs vulnérabilités et à tarifer leur offre d’assurance,
• Communiquer de façon claire et lisible sur leurs offres et notamment sur des mesures de prévention et de remédiation parfois techniques et complexes à appréhender pour les non-initiés,
• trouver le bon niveau de réponse entre la mise en œuvre d’actions de prévention, techniques et humaines pour limiter la fréquence et l’ampleur des cyber-sinistres et la proposition d’une couverture assurantielle comprenant indemnisation financière et actions de remédiation.
• Enfin, proposer une offre riche et modulaire s’adaptant aux besoins et moyens financiers de la TPE comme à ceux de la grande entreprise. Une offre constituée des garanties de base mais également des formules plus complètes permettant une prise en charge de bout en bout. Cette approche intégrée conviendrait particulièrement aux TPE, PME et ETI, qui sont de plus en plus ciblés par les cyber-attaques mais qui faute de ressources et compétences spécialisées n’ont pas forcément la capacité d’adopter et de mette en œuvre les mesures pour prévenir et gérer les cyber-risques.
Ces défis nécessitent pour les assureurs d’accroitre leur expertise de façon conséquente, en interne ou en se faisant accompagner.

Rechercher un post

  • Consulting
  • Marketing Digital
  • UI UX Design
  • Digital
  • IT
  • Article
  • Video
  • Audio
  • Date
  • Likes
+
Télécharger plus d’articles