La cyber-assurance doit permettre aux entreprises de transférer une partie du risque associé aux violations de données et autres cyber-incidents cybernétiques aux assureurs, et proposer un moyen de faire face à l'inattendu. En théorie...
Selon un sondage du Council of Insurance Agents and Brokers réalisé fin 2016, 29 % des entreprises américaines avaient souscrit à une cyber-police d’assurance. En cas d'incident, ces entreprises peuvent utiliser l'argent récupéré de la cyber-assurance pour financer des mesures correctives et d'autres activités d'intervention.
Ce chiffre est intéressant, un an plus tard il doit être médian entre le nombre croissant d’entreprises américaines qui ont un contrat de cyber-assurance, et celui certainement inférieur des entreprises européennes et surtout françaises.
La cybersécurité n'est pas qu'informatique
La cyber-assurance vient rappeler que la cybersécurité n'est pas seulement un problème informatique. Au lieu de cela, c'est un défi classique de gestion des risques de l'entreprise. En effet, les cyber-expositions peuvent mettre en péril toute une opération, affecter les personnes et les biens, compromettre la réputation et le cours des actions d'une entreprise, et créer des problèmes de conformité réglementaire.
Une seule attaque peut déclencher des revendications relevant de plusieurs stratégies. C’est pourquoi une bonne couverture dépend souvent d'une coordination étroite entre les gestionnaires des risques, les responsables informatiques, les services juridiques, les opérations et autres.
En théorie...
Tout cela est bien théorique, et le faible taux d’entreprises ayant adopté une couverture vient confirmer un fait simple : s’engager sur un contrat est un voyage vers l’inconnu qui risque fort d’ajouter des dangers au parcours numérique de l’entreprise au lieu de l’en protéger...
La conférence américaine annuelle RIMS (Risk and Insurance Management Society), qui s’est tenue en 2017 et a réuni des gestionnaires de risques, des avocats, des courtiers, des consultants et des clients, est venue opportunément mettre en garde sur la difficulté d’obtenir une couverture de cyber-assurance suffisante et fiable.
Cette mise en garde pointe le risque des contrats et polices de cyber-assurance de laisser l’entreprise exposée. Le danger provient de la courbe d’apprentissage de cette pratique, des risques et des couvertures, dont les termes et conditions n’ont en grande partie pas été testés, ni mis en situation réelle. Car les protections standard en matière d'assurance de biens et de risques sont souvent muettes sur les cyber-risques.
Au delà de la technologie
Et n’oublions pas une problématique idéologique profonde qui est porteuse de discorde : les DSI et les RSSI abordent généralement la cybersécurité d'un point de vue technologique, mais comme nous l’avons déjà évoqué, la cybersécurité n'est pas seulement un problème informatique.
Le constat fait de l’autre côté de l’Atlantique est celui d’une inadéquation entre les attentes et la couverture, qui pourrait bien être un déclencheur de litiges, et mettre à mal ce secteur naissant que beaucoup de DSI et de RSSI aspirent de leurs vœux.
Il y a pourtant une issue à ces interrogations : pour que les entreprises puissent adopter une cyber-assurance adéquate à un prix raisonnable, elles devront également rassurer leurs assureurs en veillant à ce qu'elles restent sécurisées, vigilantes et résilientes face à la cyber-menace toujours croissante.
Image d’entête 517990304 @ iStock LisLud