Assurance des cyber-risques: quelle couverture adopter?

Au cours des cinq dernières années, 92% des entreprises européennes ont subi une cyber-intrusion, selon l'étude "Faire face au défi de la cyber-sécurité", publiée en septembre 2016 par le Lloyd's, marché d'assurance. Kaspersky Lab, société spécialisée dans la sécurité du SI, souligne dans son bulletin 2016 que toutes les 40 secondes, une entreprise est victime d'un ransomware. Alors qu'en 2015, la ­fréquence était d'une attaque toutes les deux minutes... La vague mondiale de cyberattaque qui est intervenue le vendredi 12 mai n'a fait que confirmer ces chiffres alarmistes.

Pourtant, l'assurance de ces cyber-risques reste encore à la marge dans nombre d'organisations: en 2015, moins de 5% des entreprises françaises avaient déjà souscrit une cyber-assurance, selon une étude conjointe d'Ifop et PwC. "Avec plus de trois milliards d'individus ayant accès à Internet dans le monde, ne pas être assuré contre les cyber-­attaques devrait paraître, aujourd'hui, aussi saugrenu que de ne pas l'être contre le risque d'incendie", alerte Jean-Marc Sarter, senior consultant assurance au sein du groupe de conseil Ayming.

"L'assurance cyber n'est pas l'alternative à la prévention/protection du SI, mais son complément."
Alain Depiquigny, fondateur de Datassurances

Quels sont les risques couverts par ce type de police? Les cyber-risques regroupent toutes les atteintes touchant les systèmes électroniques et/ou informatiques, ou encore les données informatisées. Attention, donc, à la définition des risques couverts par la cyber-­assurance: "Le besoin de couverture cyber ne doit pas être confondu avec celui d'assurance fraude, qui relève d'un autre type d'assurance, avertit Alain Depiquigny, fondateur de Datassurances, courtier en assurances des cyber-risques qui travaille en cocourtage avec Gras Savoye. La fraude au président, par exemple, ne sera pas couverte par une assurance des cyber-risques." Cependant, ­certaines compagnies, à l'instar de CNA, proposent des contrats mixtes fraude et cyber. Parmi les atteintes couvertes par la plupart des assurances cyber figurent le chiffrement des données et les demandes de rançon (ransomware), les attaques par déni de service distribué (Dos ou DDos), les fuites de données (data breach), les défaçages du site internet...

L'assistance-gestion de crise, bouée de sauvetage en cas d'attaque

Un contrat d'assurance cyber comprend généralement trois volets: dommages aux biens, responsabilité civile et assistance-gestion de crise. "Le besoin de ce dernier, qui prend en charge le financement de l'intervention de prestataires spécialisés dans une situation de gestion de crise, est commun à tous les secteurs d'activité", souligne Alain Depiquigny. Cette assistance est assurée par des entreprises spécialisées dans la sécurité informatique. Le client dispose ainsi, dans sa police d'assurance, du contact d'un maître d'oeuvre qui assurera la coordination des différents intervenants de la cellule de crise en cas de cyber-attaque. À cet effet, les assureurs se sont rapprochés des acteurs de la cyber-­sécurité pour proposer des solutions complètes: Axa, par exemple, s'appuie sur Airbus, AIG sur Solucom, ou encore Allianz sur Thales.

Concernant les autres volets, le secteur d'activité de l'entreprise et les atteintes auxquelles elle sera, de fait, plus exposée, constituent des critères prépondérants pour définir ses besoins de couverture cyber. "Les fuites de données personnelles ou confidentielles, par exemple, peuvent déboucher sur la mise en cause de la responsabilité de l'entreprise, voire de celle de ses dirigeants", affirme Alain Depiquigny. Les entreprises de la santé, par exemple, qui détiennent ce type de données en grand nombre, auront donc besoin du volet responsabilité civile.

>> Lire la suite en .

Le volet dommages aux biens recouvre principalement le risque de perte d'exploitation: frais de reconstitution des données, perte d'exploitation liée à l'interruption de l'activité provoquée par une atteinte au SI... "Ce besoin concerne les activités pour lesquelles une atteinte au SI comporte un risque d'interruption de l'activité qui, même sur un laps de temps très court, est susceptible de générer une perte d'exploitation quantifiable, précise Alain Depiquigny. C'est le cas des sites de vente en ligne qui peuvent, par exemple, subir une attaque DDos (déni de service distribué), laquelle consiste à bloquer les serveurs par saturation, ou encore des activités industrielles dont les installations sont pilotées à distance (systèmes Scada)."

Manque de recul sur les cyber-risques

"La nature évolutive des risques fait que nul, aujourd'hui, ne peut connaître leur prix réel", déclare Jean-Marc Sarter. Les assureurs manquant de recul statistique sur le cyber-risque, il s'ensuit de grandes amplitudes tarifaires entre les compagnies. Pour définir son besoin de couverture, l'entreprise doit établir une cartographie de ses risques cyber.

"Idéalement, le contrat d'assurance souscrit doit reposer sur une étude qui comprend la cartographie des risques, l'analyse des vulnérabilités, les moyens de prévention pragmatiques mis en oeuvre pour y remédier, une classification des données précisant leurs moyens de protection, des tests d'intrusion réalisés pour détecter les failles...", précise Alain Depiquigny. Une démarche qui, dans l'idéal, sera menée par une entreprise d'audit en sécurité informatique, mais qui peut déjà être initiée par le Daf en recensant les serveurs, les logiciels, les utilisateurs... Des méthodes spécifiques d'analyse des risques, telles que Mehari, Ebios ou Octave, permettent une analyse rationnelle de la sécurité des SI au regard des normes ISO.

Pour l'assureur, la première base d'analyse sera le questionnaire initial rempli par le prospect, qui détaille la composition du SI, les habitudes des utilisateurs, mais aussi des systèmes de sécurité existants. La souscription sera actualisée chaque année au regard des statistiques des sinistres ou de l'évolution prévisible des risques, évaluée via un ­questionnaire, un audit ou la visite d'un inspecteur. Car, comme le rappelle Alain Depiquigny, "l'assurance cyber n'est pas ­l'alternative à la prévention/protection du SI, mais son complément".

>> Découvrez en le témoignage d'un risk manager qui a mis en place une assurance cyber dans son entreprise.

[Cas pratique] Loïc Leymarie, directeur des risques, compliance et assurance du groupe Adeo, membre de l'Amrae

"Avec le cyber, on bascule dans un mode de fonctionnement en gestion de crise"

> Dans quel contexte avez-vous eu à vous pencher sur la question de l'assurance des cyber-risques?

Le groupe Adeo exerce dans la grande distribution, plus précisément dans la vente de biens de consommation pour le bricolage, l'aménagement de la maison et la décoration Or, ces dernières années, le développement de l'e-commerce ainsi que des services en ligne impose de revoir les priorités de l'entreprise comparativement au passé, où le magasin physique était le principal point d'attention. Nous basculons d'un monde du matériel, où les risques sont connus et définis, à un monde du numérique, où le risque est difficile à évaluer, d'où la nécessité de se couvrir.

> Quelles sont les grandes étapes de ce chantier?

La première étape est de se demander ce qu'il va se passer. En cas d'incendie d'un magasin, par exemple, on peut prévoir les conséquences, mais dans une économie numérique, qu'est-ce qu'un hack va impliquer? Nous avons fait une analyse avec notre responsable de la sécurité des systèmes d'information (RSSI) et différents acteurs de l'entreprise pour étudier les conséquences en cas de hack et évaluer l'impact financier. Nous avons surtout fait des projections sur la façon dont nous allions réagir: quels dispositifs mettre en place? Quelles réponses apporter aux clients? Avec le cyber, on bascule dans un mode de fonctionnement en gestion de crise. Puis nous avons soumis les différents scénarios aux assureurs, afin d'étudier avec eux ce qu'ils prenaient en charge.

> Quels conseils souhaiteriez-vous délivrer à une entreprise qui envisage d'adopter une assurance des cyber-risques?

Ma recommandation serait de considérer que cette assurance cyber doit toujours coller au plus près à l'évolution de l'activité de l'entreprise. Cette assurance étant basée sur des sujets IT/technologiques, il faut veiller à suivre les évolutions internes de l'entreprise. Ce principe peut s'appliquer à toute police d'assurance, mais dans le cas de l'assurance cyber, cela est d'autant plus important car les évolutions sont plus rapides. En conséquence, la souscription d'une police cyber impose de réunir les bonnes compétences internes nécessaires pour éviter de se faire appliquer un contrat type du marché et customiser au mieux les garanties pour correspondre aux besoins de l'entreprise.