Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le cyber-risque aux griffes des assureurs…

mai 2013 par Emmanuelle Lamandé

La multiplication des cyber-risques fait depuis plusieurs années le bonheur des offreurs. Nombreux sont ceux à avoir flairé ce nouveau créneau, et les compagnies d’assurances ne sont pas en reste ! On assiste ainsi depuis peu au développement de nouvelles polices spécifiques, prétendant couvrir les entreprises contre les cyber-risques, quels qu’ils soient. Mais ces beaux discours ne sonnent-ils pas aussi faux que « la lyre d’Assurancetourix » ? Peut-on vraiment aujourd’hui assurer le cyber-risque ? Le Cercle de la Sécurité ouvre le débat, à l’occasion d’un échange animé par la journaliste Florence Puybareau.

Les politiques de sécurité, tout comme les contrôles internes, permettent aujourd’hui de limiter les cyber-risques en entreprise, explique Michel Juvin, DSI de Lafarge. Il reste, toutefois, à l’heure actuelle impossible de couvrir l’intégralité des risques. Peut-on alors assurer les risques résiduels ? Son entreprise a engagé une démarche il y a près de deux ans, afin de déterminer ce qu’il était possible ou non de mettre en œuvre en la matière. Effectivement, de nouvelles polices d’assurance existent désormais en ce domaine. Le groupe a toutefois été refroidi par les coûts de telles assurances, et notamment des franchises à payer en cas d’incident.

Pour Nicolas Mason, Responsable Risques & Assurances Groupe d’Oberthur Technologies, il reste aujourd’hui difficile de savoir ce qu’englobe véritablement le risque « cyber », puisque cela varie généralement d’une entreprise à l’autre. Il apparaît d’ailleurs, en ce sens, d’autant plus essentiel que cette démarche se fasse en concertation avec l’ensemble des acteurs qui gèrent la sécurité dans l’entreprise. Il convient, dans un premier temps, de définir ce qui est assurable, puis d’établir une liste de ce qui est déjà assuré dans les polices d’assurances contractées par l’entreprise. Une fois défini le « gap » des risques non assurés, l’entreprise pourra voir s’il existe ou non des produits d’assurance couvrant ces « nouveaux » risques. Cette tâche peut s’effectuer en collaboration avec un courtier en assurance.

L’analyse de risques s’avère toutefois du ressort de l’entreprise, non du courtier en assurance, complète Luc Vignancour, Deputy Manager chez Marsh S.A., société de courtage d’assurance et de gestion des risques. Le métier du courtier est de transformer les besoins des entreprises en textes recevables par les assurances. En fonction des risques analysés par l’entreprise, le courtier va voir de quelle manière il est possible de couvrir ces risques, soit via des textes d’assurance existants, soit par la faisabilité d’en créer de nouveaux auprès des différents assureurs présents sur le marché.

S’assurer contre le cyber-risque consiste surtout, selon lui, à définir la perte financière engendrée par tel ou tel incident de sécurité. Les deux questions qu’une entreprise doit se poser en la matière sont donc : quelles sont les pertes financières et quelle est la valorisation de ces pertes ? L’assurance est juste là pour apporter la somme financière qui va venir couvrir les pertes. En cas d’incident, l’objectif de l’assurance est, en effet, de pouvoir :
- Couvrir la perte de CA pour l’entreprise ;
- Couvrir l’ensemble des frais engagés par l’entreprise pour gérer l’incident.

Une démarche qui n’est pas simple quand l’on sait à quel point il peut s’avérer difficile d’évaluer le coût d’un incident de sécurité. En cas de vol ou de fuite d’informations, le coût serait estimé entre 20 et 200 euros par donnée personnelle perdue. Il faut noter, en outre, que les amendes restent, quant à elles, inassurables.

Le recours à l’assurance, tout comme l’audit de sécurité, soulève toutefois un certain nombre de questions juridiques et contractuelles, explique Maître Garance Mathias, Avocate. C’est le cas, par exemple, pour tout ce qui a trait aux questions de confidentialité. Comment s’assurer de la confidentialité des données quand l’on fait appel à des prestataires extérieurs ? Un accord de confidentialité doit au préalable être établi entre l’entreprise et l’entité tierce, y compris s’il s’agit d’un assureur.
Dans le cadre du projet de règlement européen relatif à la protection des données à caractère personnel qui s’appliquera prochainement à tous les Etats-membres, chaque entreprise devra au préalable étudier l’impact qu’aura tel ou tel projet sur la protection des données à caractère personnel. Il en sera de même pour les projets d’assurance. Le fait que le projet de règlement prévoit la notification des failles de sécurité obligera, de plus, à « repenser » la politique de sécurité, mais aussi d’assurance, dans son ensemble.

Luc Vignancour se veut plus rassurant, puisqu’à ses yeux l’assureur se moque de savoir quels sont les types de données assurées (bancaires, de santé…), ni ce que contiennent ces informations. La démarche n’est absolument pas intrusive. Il n’y a d’ailleurs pas besoin de déclaration de risques. L’assureur s’intéresse uniquement à la véracité de la déclaration de l’assuré. L’important serait donc, pour être « assurable », que l’entreprise soit consciente du risque.

Restent toutefois encore quelques réserves sur la définition du cyber-risque et sur ce que renferme cette notion, souligne Maître Mathias. Les critères et conditions d’assurabilité spécifiques à la cyber-sécurité sont, de ce fait, encore aujourd’hui quelque peu nébuleux. D’autant qu’on ne pourra vraiment assurer le cyber-risque que lorsque l’on sera en mesure de le valoriser, conclut Luc Vignancour.




Voir les articles précédents

    

Voir les articles suivants