Les cyber risques sont dorénavant dans le top 3 des menaces sur les business des entreprises. En quelques années, les assureurs se sont mis en ordre de bataille pour mieux les couvrir. Mais que peut vraiment attendre une organisation d’un tel contrat ? L’éditeur spécialiste en cybersécurité Symantec partage son éclairage.
En 2018, les cyber incidents sont inscrits en deuxième position dans le top 10 des risques business mondiaux que détaille le très surveillé Allianz Risk Barometer. Le géant de l’assurance regroupe sous cette terminologie « cyber » des cas allant de la panne IT jusqu’aux cybercrimes. Depuis six ans qu’Allianz édite son rapport, l’item des cyber incidents est non seulement apparu dans le classement mais est venu se placer juste derrière les interruptions de business dû aux problèmes de supply chain et les troubles de volatilité des marchés. Il dépasse les catastrophes naturelles ou encore les risques et violences politiques comme le terrorisme. Dans des pays comme les Etats-Unis, l’Australie, l’Afrique du Sud et le Royaume-Uni, il truste même la première place du podium, et il est sur la 2e marche en France.
Un « péril » complexe à couvrir
Pour les assureurs l’opportunité business est vite devenue claire. Entre 2013 et 2014, Allianz Global Corporate et Specialty (AGCS), la filiale spécialiste des risques industriels et spécialisés du groupe, avait montré l’exemple en quadruplant le montant de la couverture de sa police d’assurance « cyber data protect » pour atteindre 100 millions d’euros. Plus récemment, le groupe a ajouté une garantie cyber à ses contrats multirisques destinés aux PME. Mais Allianz n’est évidemment pas le seul acteur à s’être saisi de ce nouveau marché. Même le géant européen de la réassurance Scor y a consacré son congrès annuel il y a un an. « La cyber-assurance devient mainstream. C’est le genre d’opportunité que le secteur n’a pas connue depuis la démocratisation des automobiles ! » note Laurent Heslault, directeur des stratégies de sécurité de Symantec France. Il souligne cependant la complexité des enjeux que cela représente pour les assureurs : « Les cyber risques sont un « péril » c’est-à-dire qu’ils peuvent à leur tour déclencher d’autres problèmes successifs. Si l’on regarde le classement réalisé par Allianz, 7 des 10 autres risques présentés peuvent ainsi être provoqués par un risque cyber ! ». Et les assureurs manquent encore énormément de données sur le sujet, là où cela fait des décennies qu’ils alimentent celles concernant les incendies ou les accidents de la route… Ils s’associent donc majoritairement à des spécialistes de la cybersécurité, à l’image de Symantec, afin de pallier à leur manque. D’autres, comme Zurich Insurance Group, recrutent à tour de bras des experts, y compris dans des domaines comme la réponse à incident.
Apporter son soutien à une entreprise qui a connu une attaque ou un incident représente en effet un des deux piliers des contrats de cyber assurances, le second étant celui de l’indemnisation, souvent plus délicat. En effet, les polices sont devenues bien différentes des anciens usages qui consistaient à couvrir le matériel informatique et la perte d’exploitation IT : l’évaluation des pertes et coûts varient grandement quand il est question de capital informationnel et de data. « Nous avons souscrit à une cyber assurance, et pour l’instant heureusement nous n’avons pas eu à nous en servir… mais je me demande vraiment comment cela pourrait se passer au niveau de l’indemnisation » note ainsi un chief information security officer du domaine bancaire. Et d’ajouter : « Je la vois avant tout comme une capacité d’amortissement, qui ne dédouane en rien nos autres responsabilités en termes de gestion des risques ».
La cyber-assurance favorise la mise en place d’un cercle vertueux
Une meilleure prévention des risques est justement un des autres points clés que permet d’amener la démarche de se faire assurer. « Plus la taille d’une entreprise sera importante, plus les assureurs pousseront à des analyses de niveaux de résilience par exemple. Et pour tous, choisir de s’assurer demande d’avoir fait une analyse de risque, afin de déterminer les risques que l’on accepte, refuse, réduit ou que – dans ce cas – l’on transfert » illustre Laurent Heslaut.
Les assureurs travaillent également très fortement pour aider à la réduction d’un certain nombre de risques. Ainsi, Symantec s’est associé avec plusieurs acteurs pour lier plusieurs de ses technologies de protection aux contrats. « Notre technologie de filtrage des e-mails, l’un des premiers vecteurs d’infection dans les entreprises, fonctionne en mode cloud de façon très accessible avec un SLA de 100% de détection des menaces connues ou inconnues. Si l’assuré s’en dote dans le cas d’une police couvrant les ransomwares, l’assureur va consentir à un rabais car le niveau de risque aura baissé et de notre côté, nous offrirons également de meilleures conditions » décrit Laurent Heslaut.
Ces pratiques sont d’autant plus intéressantes pour sensibiliser des hauts responsables dans l’entreprise, qui se posent de plus en plus de questions suite à des attaques comme Wannacry, NotPetya, ou le cas Equifax. En effet, contrairement aux experts cyber, les assureurs discutent avec les directeurs financiers – et sont écoutés par eux. La cybersécurité dépasse alors l’étiquette de sujet technique, une priorité dans un contexte d’entrée en vigueur du Règlement Général sur la protection des Données Personnelles.
Cyber assurance : sur quoi se concentrer ?
Les conseils de Laurent Heslault, Symantec
- Même simplifiée, une analyse de risque est essentielle. Il faut démystifier pour les dirigeants la complexité qu’elle représente, et donc celle de la gestion des risques qui s’en suit. Tout n’est pas comparable à une certification ISO 27001 !
- Discutez avec les assureurs, mais aussi les courtiers ! Ces derniers ont fait énormément de démarche de leur côté pour être capable de bien jouer leur rôle partout dans le monde sur le sujet de la cyber assurance. Profitez de leur maturité.
- Ne voyez pas l’assureur comme seulement une source d’indemnisation. Il va être d’une grande aide pour affiner vos pratiques de sécurité, de la sauvegarde jusqu’à la réponse à incident. L’assurance permet d’entrer dans un cercle vertueux.
- Si votre entreprise est de taille modeste, vous pouvez profiter d’offres standard qui vous serviront déjà énormément.