En ce moment En ce moment

Assurance des cyber-risques: quelle couverture adopter?

Publié par le

Je m'abonne
  • Imprimer

Le volet dommages aux biens recouvre principalement le risque de perte d'exploitation: frais de reconstitution des données, perte d'exploitation liée à l'interruption de l'activité provoquée par une atteinte au SI... "Ce besoin concerne les activités pour lesquelles une atteinte au SI comporte un risque d'interruption de l'activité qui, même sur un laps de temps très court, est susceptible de générer une perte d'exploitation quantifiable, précise Alain Depiquigny. C'est le cas des sites de vente en ligne qui peuvent, par exemple, subir une attaque DDos (déni de service distribué), laquelle consiste à bloquer les serveurs par saturation, ou encore des activités industrielles dont les installations sont pilotées à distance (systèmes Scada)."

Manque de recul sur les cyber-risques

"La nature évolutive des risques fait que nul, aujourd'hui, ne peut connaître leur prix réel", déclare Jean-Marc Sarter. Les assureurs manquant de recul statistique sur le cyber-risque, il s'ensuit de grandes amplitudes tarifaires entre les compagnies. Pour définir son besoin de couverture, l'entreprise doit établir une cartographie de ses risques cyber.

"Idéalement, le contrat d'assurance souscrit doit reposer sur une étude qui comprend la cartographie des risques, l'analyse des vulnérabilités, les moyens de prévention pragmatiques mis en oeuvre pour y remédier, une classification des données précisant leurs moyens de protection, des tests d'intrusion réalisés pour détecter les failles...", précise Alain Depiquigny. Une démarche qui, dans l'idéal, sera menée par une entreprise d'audit en sécurité informatique, mais qui peut déjà être initiée par le Daf en recensant les serveurs, les logiciels, les utilisateurs... Des méthodes spécifiques d'analyse des risques, telles que Mehari, Ebios ou Octave, permettent une analyse rationnelle de la sécurité des SI au regard des normes ISO.

Pour l'assureur, la première base d'analyse sera le questionnaire initial rempli par le prospect, qui détaille la composition du SI, les habitudes des utilisateurs, mais aussi des systèmes de sécurité existants. La souscription sera actualisée chaque année au regard des statistiques des sinistres ou de l'évolution prévisible des risques, évaluée via un ­questionnaire, un audit ou la visite d'un inspecteur. Car, comme le rappelle Alain Depiquigny, "l'assurance cyber n'est pas ­l'alternative à la prévention/protection du SI, mais son complément".

Les cyber-assurances et les PME (non exhaustif)

- La compagnie d'assurances Hiscox propose le contrat "Data risks by Hiscox", qui s'adresse aussi bien aux petites entreprises qu'aux grands comptes et couvre les risques liés à la sécurité des données, pour toutes les entreprises responsables du traitement de données à caractère personnel et/ou en possession de données sensibles (exemples de secteurs d'activité : marketing et communication, entreprises de services, d'édition de contenus...).

- La compagnie américaine CNA, leader dans le domaine médical aux États-Unis, propose des solutions sous forme de package ou en police individuelle, dont l'offre Netprotec, qui s'adresse plus particulièrement à l'industrie, aux établissements de santé, institutions financières, etc. À noter: CNA développe des contrats mixtes fraude et cyber.

- L'assureur Zurich propose également une police "Cyber security and privacy" adaptée aux ETM.

- XL Catlin, pour sa part, a annoncé en septembre 2016 le lancement d'une offre cyber dédiée aux PME et aux ETI, avec deux niveaux de couverture proposés.

- Enfin, Beazley, acteur historique de l'assurance des cyber-risques, a développé "Beazley breach response" pour assurer les entreprises contre les risques en matière de cybercriminalité et violation des données.

>> Découvrez en page 3 le témoignage d'un risk manager qui a mis en place une assurance cyber dans son entreprise.

Je m'abonne

Benedicte Gouttebroze

Camille George,<br/>rédactrice en chef Camille George,
rédactrice en chef

La Lettre de la Rédac

Chaque semaine, l'essentiel de l'actu

La rédaction vous recommande

Sur le même sujet

Risques

Par Mikaël Deiller, Michael Page

Le rôle du directeur administratif et financier n'a cessé de se dimensionner ces dernières années à mesure que ses missions se diversifiaient. [...]

Risques

Par Carine Guicheteau

Le marché de la cyberassurance est encore jeune, mais promis à un bel avenir. En effet, les risques cyber sont aujourd'hui identifiés comme [...]