Des pistes pour une meilleure assurance cyber

Alors que l’assurance cyber est encore peu développée, le Club des Juristes a émis dix préconisations pour mieux couvrir ce risque.

Sources : Les Echos  Cecile Desjardins 


Si la cyberassurance s’est incontestablement développée ces dernières années , le sujet reste souvent sensible aujourd’hui. Et donne régulièrement matière à insatisfaction. « Les niveaux de franchise qu’on me propose sont trop élevés : j’ai l’impression de payer des primes pour un risque qu’en réalité j’assure en grande partie moi-même ! », se plaignait récemment le directeur informatique d’un grand groupe français, doté de nombreuses filiales à l’étranger.

Résultat, malgré une sensibilisation de plus en plus vive au risque cyber, beaucoup d’entreprises font aujourd’hui encore l’impasse sur l’assurance. Une étude récente du groupe d’audit et conseil Deloitte (1) montrait ainsi que seules 24 % des entreprises sondées avaient souscrit à une assurance en lien avec les risques de cybersécurité. Pourtant, « souscrire à une cyberassurance permet de minimiser l’impact financier suite à un incident mais également d’effectuer une évaluation préalable du niveau de risque de sécurité pour ainsi connaître le niveau de maturité de son système d’information et ses différentes vulnérabilités », soulignait Michael Bittan, associé responsable des activités cybersécurité chez Deloitte. Lorsqu’une assurance est souscrite ? Les options de couverture des risques concernent tout d’abord, la perte de données personnelles (42 %), la protection de la propriété intellectuelle (32 %), les virus et ransomwares (24 %), l’image de marque de l’entreprise (20 %) et l’incident de sécurité (15 %).
Un marché de 3,5 milliards de dollars

Face à la menace, le Club des Juristes s’est saisi du sujet. Sa commission « ad hoc cyber risk » vient de publier un rapport intitulé « Assurer le Risque cyber » qui dresse un tableau de la situation et propose dix « préconisations pour mieux assurer le risque cyber ». Le document rappelle que, si le marché mondial de l’assurance cyber est estimé entre 3 et 3,5 milliards de dollars, l’Amérique capte 85 à 90 % de ces primes, laissant à l’Europe 5 à 9 % du marché mondial, la France ne représentant que 40 millions d’euros de primes. « La demande d’assurance cyber est encore bridée », indique le rapport. En raison tout d’abord « d’un déficit de compétences techniques et juridiques qui empêche de nombreux acteurs économiques d’appréhender le risque cyber de façon pertinente », mais aussi de la sous-estimation persistante du risque cyber dans de nombreuses entreprises, de la méconnaissance des couvertures cyber par les dirigeants d’entreprises et enfin du manque de « corrélation entre les primes et le risque ».

Cette dernière serait liée, « comme sur tous les marchés immatures », aux incertitudes qui planent sur la « quantification du risque », du fait de l’« absence de statistiques sur les sinistres, méconnaissance technique de la vulnérabilité, absence de certitudes en matière de prévention et de protection ». Pourtant, comme le souligne Valérie Lafarge-Sarkozy, avocat associé du cabinet Altana, et secrétaire général de la commission, « le risque cyber doit être assuré. Et pas que dans les grandes entreprises : les PME sont elles aussi concernées par ce risque émergent ; elles font de plus en plus l’objet d’attaques organisées. Outre la couverture financière, l’assureur conduit à la réalisation d’une cartographie des risques et à une sensibilisation des salariés ».
Dix préconisations

Parmi les pistes proposées pour améliorer la situation, certaines sont à destination des assureurs et gestionnaires de risque. Ainsi, il leur faudrait « accélérer le développement d’une culture du risque cyber », et « expliquer clairement les contenus des différentes couvertures cyber et faciliter la comparaison des offres d’assurance », ou encore « renforcer la relation de confiance entre assureurs et assurer dans la gestion des contrats cyber ». D’autres préconisations s’adressent aux assureurs, réassureurs, à l’ANSSI et à la CNIL : « développer un cadre de sécurité numérique pour les TPE/PME, mutualiser les données résultant d’incidents cyber, piloter les expositions et les cumuls de risques des assureurs et réassureurs ».

Les dernières voies, enfin, s’adressent aux instances européennes ou aux pouvoirs publics français : « définir un ensemble de normes techniques facilitant l’évaluation du niveau de sécurité cyber des assurés, établir les conditions d’une concurrence équitable entre les assureurs cyber, mettre en place une veille réglementaire et un suivi de l’évolution des marchés et, enfin, orienter l’investissement vers l’émergence d’une filière d’excellence en cyber-technologie ».

Si ces pistes ne sont pas véritablement révolutionnaires, les juristes auront au moins démontré leur volonté de s’impliquer dans ce qui est désormais devenu un sujet de Place. Deux autres cahiers devraient suivre, « examinant la dimension juridique puis les conditions de prévention de ce nouveau cyber-risque, qu’il va falloir nous habituer désormais à comprendre, à combattre et à gérer », pour reprendre les propos de Bernard Spitz, président de la Fédération Française de l’Assurance (FFA) et président de la Commission Cyber Risk du Club de Juristes, en introduction du document.

(1) – Enquête réalisée par Deloitte au deuxième trimestre 2017, auprès d’un panel de responsables métiers, IT et Cyber de 403 entreprises.

(2) – Rapport « Assurer le risque Cyber », janvier 2018, publié par le Club des Juriste et rédigé par sa « Commission ad hoc cyber risk », dont le président est Bernard Spitz, président de la Fédération Française de l’Assurance (FFA) et la secrétaire générale Valérie Lafarge-Sarkozy, avocat associé du cabinet Altana.
Ce que font les entreprises face au cyber risque
L’enquête de Deloitte (1) révèle également que 71 % ont ressenti une hausse des cyberattaques. Les trois-quarts du panel auraient mis en place des mesures de sécurité supplémentaires depuis les attaques mondiales Wannacry ou Petya : avec tout d’abord, la formation et la sensibilisation des employés (56 %), puis à 35 % l’instauration d’une nouvelle organisation avec la nomination de responsables – RSSI (Responsable de la Sécurité des Systèmes d’Information), un CIL (Correspondant Informatique et Liberté) ou un DPO (Délégué à la Protection Données) -, la mise en place d’une nouvelle politique de gestion des habilitations et des accès (31 %), et enfin le chiffrement des données (16 %).

 

LEAVE REPLY

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *