Cyber risque : enjeux et assurabilité

Piratage, virus, vol de données, « hameçonnage », demande de rançons… tous ces termes rentrent dans ce qu’on appelle la cyber criminalité. L’actualité fait régulièrement échos de cyber attaques de grandes entreprises, d’administrations ou même de particuliers (WannaCry, NotPetya et d’autres).

La Fédération Française de l’Assurance (FFA) a publié en février 2019 son second baromètre sur les risques émergents en assurance et en réassurance en France : sans surprise, le cyber risque y est cité comme étant la 1ère menace.

Mais comment se définit le cyber-risque ? En tant que risque émergent, comment les assureurs appréhendent-ils ce risque ? Existe-t-il des moyens de prévention ? En résumé, comment assurer ce risque, comment le tarifer et comment s’en prémunir ?

Définition et enjeux

Le site du gouvernement (Gouvernement.fr) définit une cyber-attaque comme étant « une atteinte à des systèmes informatiques réalisée dans un but malveillant ».

On peut définir 4 types de cyber-risques (la cybercriminalité, l’atteinte à l’image, l’espionnage et le sabotage) pouvant affecter les particuliers, les administrations et les entreprises.

80 % c’est le pourcentage des entreprises qui ont subi au moins une cyberattaque en 2018 et ce, quelle que soit sa taille ou son secteur d’activité. De plus, 13 % des entreprises qui furent attaquées en 2018 ont subi un préjudice supérieur à 100k € (10 % en 2017). Dans la mesure où « sécuriser complétement les systèmes d’informations » serait une utopie, la question du cyber crime n’est plus de savoir « si » mais « quand » il surviendra…et par quel moyen ?

Les groupes et les administrations ont bien conscience de l’existence du risque cyber. Les obligations en termes de confidentialité des données (RGPD) impliquent d’ailleurs des efforts et des précautions en matière de sécurité, avec l’apparition chez certains groupes de responsables de la sécurité des SI. 55 % de ces responsables pensent d’ailleurs que leur entreprise n’est pas préparée à gérer une cyber attaque de grande ampleur.

Comment mieux préparer et prévenir les entreprises sur ce risque ?

Le principe directeur pour les entreprises est de bien cartographier et identifier les risques potentiels afin de mettre en place une politique de gestion des risques adéquate, y compris le plan de continuité d’activité. Dans ce cadre, quelques normes peuvent être considérées, tel que la norme ISO 27001 qui est l’une des pionnières dans le domaine de la cyber sécurité.

Ensuite, la prévention passe par « l’éducation » des utilisateurs, en rappelant certaines bonnes pratiques et en mettant à disposition une base d’incidence permettant aux utilisateurs de remonter tout évènement lié à un risque cyber.

Par ailleurs, certaines solutions centralisées de « data centers » par exemple promettent des technologies de surveillance solides et permanentes 24/7.

Malgré cela, le risque perdure, c’est pour cette raison que le marché de l’assurance cyber progresse et beaucoup de produits voient le jour. On retrouve sur ce marché beaucoup d’assureurs et de réassureurs qui proposent d’accompagner les entreprises dans leur démarche de couverture du risque Cyber, non seulement en indemnisant les sinistres mais en proposant un accompagnement complet et un partage de compétences pointues.

Quelle base pour développer l’assurance cyber ?

L’assureur dans sa gestion du risque doit calculer la probabilité qu’un événement se produise et chiffrer son impact. Cependant, le marché de la cyber-assurance est très récent pour pouvoir disposer de bases de données, en plus de la contrainte de non divulgation de ces informations jugées parfois nuisibles à la réputation de l’entreprise attaquée.

Cela constitue le principal souci de la cyber-assurance qui empêche une évaluation du risque au plus juste. Les modèles et les tarifs s’appuient de ce fait principalement sur des jugements d’experts, et la modélisation du risque ne peut être basée sur un modèle unique.

A noter qu’aux Etats Unis la réglementation pousse à une publication des vols de données personnelles, permettant la constitution de bases de données potentiellement exploitables. Mais le retard du marché Européen dans ce domaine fait qu’elle représente moins de 10% du marché mondial de l’assurance cyber.

Le développement de ce marché ne dépendra pas uniquement d’une demande accrue mais aussi d’une amélioration de l’offre. Les cyber attaques émanant de personnes agiles, il faut que les réponses apportées soient également suffisamment complètes.

En conclusion, le cyber risque mérite encore d’être bien identifié dans la cartographie des risques de l’assureur. Les différents incidents doivent être collectés en vue d’une exploitation quantitative au sein de modèles simplifiés dans un premier temps. Le système de gestion des risques doit mettre en place des actions de prévention (contrôles de différents niveau, exercices de simulation, formations auprès des salariés, etc.) et un environnement permettant une réaction efficace (plan de continuité d’activité, identification des rôles et responsabilité en cas de crise, études d’impact au préalable, etc.).

Les consultants de GALEA discutent de ces enjeux avec différents acteurs et sont à votre disposition pour partager leur expérience et leurs compétences sur les meilleures pratiques actuelles du marché de l’assurance.

Rédaction : Emeline VITAL, Pierre GROUARD, Saber TRABELSI

Sources :

https://www.ffa-assurance.fr/actualites/deuxieme-edition-du-barometre-des-risques-emergents-pour-assurance

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.