La menace croissante posée par les cyber attaques, en conjonction avec une dépendance croissante sur les actifs numériques, a vu la cyber sécurité devenir un élément essentiel de la stratégie des entreprises. Les actifs numériques d’une société représentent une valeur considérable, et la nécessité de les protéger n’a jamais été aussi critique.
Le marché global de l’assurance cyber se développe à grande allure, les entreprises se rendent compte que, indépendamment de leurs processus actuels, la sécurité ne peut jamais être garantie à 100%. La croissance de l’assurance cyber est liée à la nécessité d’atténuer les dommages causés par les incidents de cyber sécurité.
Comment pourrions-nous définir l’assurance cyber?
Compte tenu de l’immaturité du marché en Europe, définir la cyber-assurance semble être une question complexe et subjective. La couverture fournie dépend de la compagnie d’assurance avec laquelle vous traitez.
Il est primordial de lire attentivement les conditions et clauses du produit souscrit.
Dès Juin 2012, l’ENISA (European Network Information Security Agency) a réalisé une étude remarquable définissant les caractéristiques de l’assurance cyber, et soulignant les incitations et les barrières du marché de l’assurance cyber en Europe (1 *).
Selon l’ENISA, l’assurance cyber est un marché d’assurance couvrant les risques de cyber sécurité impactant l’organisation et potentiellement des tiers.
Le cabinet d’analystes Gartner group déclare que l’assurance cyber est un contrat entre un assureur et une entreprise pour se protéger contre les pertes liées à des incidents de sécurité informatique ou réseau.
En bref, il est possible de définir l’assurance cyber comme un produit qui offre une couverture contre toute sorte de risques numériques tels que le piratage, violation de la propriété intellectuelle et les violations de données.
L’assurance cyber comble les lacunes auxquelles les polices traditionnelles d’assurance répondent insuffisamment.
Le principal problème pour le client ou la société assurée est qu’il est laissé dans une situation où il ne sait pas ce dont il a besoin pour être couvert et comment il peut le faire en raison de l’absence d’une définition standard.
Quels sont les facteurs clés de l’adoption de l’assurance cyber?
La situation n’est pas meilleure malheureusement. Les cyber-attaques sont de plus en plus globales et à la hausse à la fois aux États-Unis et en Europe. Les cyber attaques augmentent à la fois en termes de fréquence, d’impacts financiers et de visibilité.
Le piratage de la société Target en 2013 ou celui récent de Sony Pictures Entertainment en 2014 est la preuve que toute organisation reste encore très vulnérable. La violation de données a coûté à la société Target une baisse significative de ses bénéfices, qui a été estimée à environ 40% au 4ième trimestre de l’année 2013.
La digitalisation accrue des chaînes de valeur de l’entreprise avec l’adoption du Cloud computing et du Big Data signifie qu’un service peut maintenant contenir les données de millions de clients et, par conséquent, représentent un risque majeur si la sécurité est violée.
L’Union Européenne travaille actuellement et fortement sur un règlement afin de protéger les informations en ligne confidentielles et personnelles des clients. Le règlement pourrait imposer des amendes pouvant aller jusqu’à 5% du chiffre d’affaires global d’une société pour des violations de données graves qui résultent d’une négligence caractérisée.
Le règlement en cours de protection des données de l’Union Européenne, combinée avec la menace d’une atteinte à la réputation et à la marque, est probablement un des facteurs clefs de la croissance du marché de l’assurance de cyber en Europe au cours des années à venir.
Quels sont les principaux défis?
La transparence entre l’assuré et l’assureur dans leur relation d’affaires doit être augmentée afin de créer des incitations.
Du point de vue de l’acheteur, le coût des primes est encore perçu élevé, il existe une confusion sur les termes et conditions de l’assureur, le processus de présélection est perçu comme difficile et intrusif, etc.
Du point de vue du vendeur, en raison de l’asymétrie de l’information relative à l’absence de données historiques de l’assuré (par exemple, les vulnérabilités et les incidents de sécurité), évaluer le risque et le prix reste assez complexe.
Par exemple, pour illustrer ce problème de la poule et de l’oeuf pour les deux parties: comment est-il possible d’évaluer la valeur des données client d’un site Web pour mettre en place une police d’assurance appropriée? Est-il un préalable obligatoire?
Afin d’apporter plus de transparence, et de mesurer l’exposition au risque cyber de l’assuré, il convient de mentionner l’initiative Cyber Essentials du Cabinet Office au Royaume-Uni (2 *). Le badge Cyber Essentials aide les entreprises petites et grandes, en clarifiant les mesures techniques de sécurité nécessaires a minima pour assurer une meilleure protection contre les menaces informatiques les plus courantes.
Cela reste de la gestion des risques …
Les dommages financiers et de réputation qui peuvent résulter d’une cyber attaque réussie signifie que la cyber sécurité peut maintenant être considéré comme un risque d’entreprise par le Comité Exécutif (cf. https://business-digital-security.com/?p=22)
En ce sens, la cyber sécurité devient un enjeu stratégique et doit être abordée avec une approche de gestion des risques solide et professionnelle, comme tous les autres risques de l’entreprise (stratégique, financier, opérationnel, etc.).
L’assurance Cyber n’a bien sûr pas supprimé la nécessité pour les entreprises de gérer leur risque de cyber attaques. Elle doit être prise en compte dans le cadre d’une approche holistique de la gestion des risques cyber incluant les contrôles des activités métier, les investissements en sécurité et l’éducation du personnel et des clients.
Afin que les organisations puissent pleinement réagir face à cette déferlante de risques numériques et sécuritaires, il est essentiel que l’assurance cyber soit reconnue et comprise comme un élément clef de la gestion des risques et d’une stratégie globale de sécurité.
Comme les cyber attaques continuent à s’intensifier et la réglementation est sur le point train d’entrer en jeu, le marché de l’assurance cyber européen va continuer à croître. Cependant, n’attendez pas les règlements et autres législations, anticipez !!
Les DSI et RSSI devraient être les instigateurs internes de cette approche. C’est de leur responsabilité de sensibiliser leur organisation.
Ils devront ainsi prendre les devants et proposer des assurances cyber au Comité Exécutif.
Ils obtiendront plus d’attention de la part de leur Comité Exécutif, et peut-être même plus de budgets de sécurité informatique !
François Gratiolet,
Business Digital Security Advisory
——–
Sources
1. The ENISA survey « Incentives and barriers of the cyber insurance market in Europe »
2. The Cyber Essentials scheme overview