Full
Thumbnail

Eric de Tinguy

Senior Manager
Eric accompagne depuis plus 11 ans les acteurs des secteurs Assurance et Protection Sociale dans leurs projets de transformation. Il a pu travailler sur l'efficacité opérationnelle, commerciale et économique ou encore sur le lancement de nouvelles activités, produits et services.

Co-auteur : Albéric Lugagne de Faucher
Pour une présentation détaillée de cet article, contactez-nous : insight@stanwell.fr


Pour accéder à la première partie de l'article, cliquez ici.



De plus en plus conscientes de la menace que représentent les cyber-risques, les organisations s'efforcent de quantifier leur exposition toujours plus précisément. Selon le baromètre OpinionWay réalisé pour le CESIN1, 40 % des entreprises sondées déclarent avoir souscrit à un contrat de cyber-assurance en 2017, 15 % disent être en cours de souscription et 22 % envisageraient de franchir le pas. Des chiffres en forte hausse puisque dans le sondage effectué en 2016, 25% seulement des entreprises déclaraient avoir souscrit, et 17% envisageaient de le faire. Elles rencontrent cependant de nombreux obstacles dans la gestion de ce risque. En outre, même lorsque les entreprises ont mis en place des dispositifs de sécurisation de leurs SI, ceux-ci ne les mettront jamais à l'abri de toutes les cyber-attaques, qui évoluent plus vite que les solutions de cybersécurité développées pour les contrer. Et en l'absence de données historiques et de procédure standard pour appréhender les cyber-attaques, les assureurs n'ont souvent pas encore développé une approche normalisée du cyber-risque sur l'ensemble de la chaîne de valeur, ni intégré la dimension potentiellement catastrophique de tels sinistres.

La chaîne de valeur de la cyber-assurance



L'enjeu pour l'entreprise est de couvrir les risques récurrents avec des moyens acceptables pour son P&L. A contrario, elle cherchera une couverture assurantielle pour les cyber risques nécessitant des moyens exceptionnels et/ou non récurrents. Le contrat de cyber-assurance doit donc être dimensionné pour répondre précisément à ce besoin.



En amont du contrat, l'importance de la prévention Le premier stade, celui de l'inquiétude, est un passage obligé. Il provoque une prise de conscience qui mène à la couverture assurantielle. La première étape est donc de réaliser un audit précis des risques auxquels l'organisation est confrontée, de développer un dispositif de cybersécurité pour protéger au mieux ce qui peut l'être. Le but est d'identifier les données et les systèmes qui sont au cœur de l'activité, de savoir où est stocké le patrimoine digital de l'entreprise (brevets, gammes de production, bases de clientèle…) et de repérer les interfaces du système d'information qui font peser un risque sur l'amont ou l'aval (fournisseurs ou clients). Un bilan assurantiel est alors effectué. Il permet d'évaluer la couverture existante et d'identifier les zones de risque résiduelles non couvrables par l'entreprise. C'est seulement en aval de ces étapes que le contrat de cyber-assurance viendra couvrir les manques vis à vis du dispositif de sécurité ou d'assurance actuel. Souvent dans les grandes entreprises, les RSSI ou les Risk Managers passent par un courtier qui a des compétences et des ressources expertes en la matière, ainsi qu'une capacité à proposer une couverture multi-assureurs. Même en cas de couverture, la cyber-assurance ne peut pas être une solution à part entière et l'adhérence aux bonnes pratiques en termes de cybersécurité sera toujours un prérequis incontournable pour obtenir un remboursement par un assureur. Il s'agit donc pour le RSSI ou le risk manager d'avoir, en amont de la signature d'un contrat de cyber-assurance, une bonne compréhension des menaces auxquelles il est confronté. Il doit être en mesure de démontrer de manière fiable un niveau suffisant de mesures de sécurité adéquates.



La phase de contractualisation assureur-assuré : la nécessité d'une offre adaptée Une étude du Lloyds2 révèle que la demande en assurance cyber reste limitée, en dépit de son haut potentiel de croissance. Force est de constater que l'offre en solutions de cyber-assurance n'a pas atteint une maturité optimale. A ce sujet, 2 facteurs principaux d'explication peuvent être évoqués : d'un côté l'ignorance ou le déni de leurs cyber-risques par les entreprises, et de l'autre, l'offre qui n'est pas suffisamment adaptée. Sur ce dernier point, l'adéquation de l'offre et de la demande passe par des propositions de garanties et de services alignées sur les demandes des entreprises et leurs moyens financiers. Suite à l'audit des risques cyber, le Risk Manager doit être capable d'engager un dialogue constructif avec son conseiller en assurance, qu'il s'agisse d'un courtier ou directement d'un commercial chez un assureur. Il peut rapidement se heurter à des obstacles dans la connaissance et la présentation de son risque car il n'existe pas de référentiel commun à ce sujet. L'enjeu de la lisibilité du contrat se révèle donc central. Comme nous l'avons précisé plus haut la définition du cyber-risque est complexe. Si l'interprétation du texte par les assureurs et par les risk managers ne recouvre pas la même chose ou que la compréhension du risque diverge sur le plan technique, chacun parlera un langage spécifique à sa profession et le dialogue sera rendu difficile. Les termes utilisés dans les contrats d'assurance sont essentiellement une compilation des définitions et de normes de risques et de garanties qui ne s'adaptent pas forcément au monde du cyber-risques. Par exemple, les définitions de risques et de garanties pour des sinistres connus - à l'instar de l'incendie, du bris de machine, ou de la responsabilité civile - ne s'adaptent pas aux cyber-risques. Ce décalage de standard entraîne pour l'entreprise la crainte de se retrouver dans le cas d'une exclusion de la couverture contractuelle. D'un autre côté, le peu de données historiques et l'absence de recul sur l'ampleur des sinistres engendre un manque de visibilité sur le cyber-risque et entraîne une frilosité de la part des compagnies d'assurance. En effet, la difficulté à quantifier le risque dans des modèles actuariels engendre une incertitude sur la tarification de l'offre de cyber-assurance. Par conséquent, il est important de définir, au cours du dialogue entre le risk manager et assureur, un langage et un référentiel commun permettant de mener les analyses du cyber-risque et de les transférer vers l'assurance.



La vie du contrat En France, comme tout contrat d'assurance, le contrat de cyber-assurance repose principalement sur le code des assurances3, qui régit les compagnies d'assurances et les relations entre assureurs et assurés. L'assuré est tenu à certains engagements vis-à-vis de son assureur, dont le devoir d'information si les risques sur le système d'information évoluent de manière notoire. Ces engagements se concrétisent essentiellement au travers de réunions annuelles entre la compagnie d'assurance, l'assuré et le courtier afin de dresser un état des lieux de l'avancement de la maturité du client et d'amender le contrat en conséquence. Cela peut prendre la forme d'une suppression ou d'un ajout d'exclusions, d'une adaptation des conditions de garantie, ou d'une modification des plafonds de garantie ou de franchises. La possibilité de modifier le contrat présente deux intérêts majeurs. D'une part pour l'assuré, puisqu'il permet de réduire le montant des primes en améliorant le dispositif de cybersécurité. D'autre part pour l'assureur en ajustant le montant des primes au niveau réel de cyber-risque. De plus, cette démarche favorise et met en valeur les travaux relatifs à l'amélioration de la sécurité du système d'information.



L'aspect sinistre : la question du périmètre de la couverture assurantielle et le plan de remédiation Une fois le sinistre survenu, les délais de notification sont un élément capital du déclenchement des garanties. En cas de manquement vis-à-vis du délai établi dans le contrat, l'assuré peut se voir refuser l'éligibilité aux garanties proposées. L'enjeu est donc d'informer la compagnie d'assurance au plus tôt, même s'il n'y a que suspicion de cyber-intrusion. Ensuite, il s'agira de rassembler les preuves à fournir pour l'indemnisation, sachant que le cadre de ces preuves et à clarifier dès la phase de contractualisation. La police d'assurance cyber présente en général un cœur de garanties établi en dommages et responsabilité civile, ce qui implique une indemnisation financière classique, mais des services complémentaires peuvent être intégrés au contrat afin d'assister l'assuré dans la gestion de la crise. Ces services peuvent donner une réelle valeur ajoutée au contrat et faire la différence avec une police moins généreuse en la matière. Ces services prennent généralement la forme de la mise à disposition d'un réseau d'expert. Dans ce cas, les experts interviennent selon les modalités qui ont été prévues en amont dans le contrat. Ce réseau peut offrir une assistance juridique, notamment pour faire appel à un juge en urgence ou contacter un huissier spécialisé dans la récupération de captures d'écran qui ont valeur de preuve. Généralement, il comprend aussi un panel agrée de techniciens en informatique, et de spécialistes en communication de crise afin d'apporter une réponse réactive à tout incident cyber. Mais ces services pourraient également prendre la forme d'une assistance à la mise en place puis au déclenchement d'un plan de continuité d'activité (PCA). L'objectif étant d'anticiper les cyber risques opérationnels de grande envergure et de pouvoir continuer à exercer l'activité.



Vers une normalisation du marché de la cyber-assurance Enfin, en mai 2018 entrera en vigueur le règlement européen sur la protection des données (RGPD) qui obligera les entreprises à renforcer leurs mesures de cybersécurité. L'article 33 du RGPD contraindra désormais les grands groupes à notifier à la CNIL les cyber intrusions constatées. En cas de manquement, l'amende encourue pourrait atteindre jusqu'à 4% de leur chiffre d'affaires ou 20 M€4. On pourrait donc imaginer un nouvel usage, où l'assureur mettrait à disposition du client, via sa police de cyber-assurance, un service de notification de la CNIL. Le marché de la cyber-assurance, majoritairement développé en Amérique du nord à ses débuts, est en train de prendre son envol en Europe. L'expansion du marché européen s'accélère du fait de la médiatisation croissante des cyber-attaques (par exemple WannaCry et Petya) et des changements réglementaires récents (décret de protection des OIV) ou à venir (RGPD). Si le marché est en pleine expansion, il peut encore gagner en maturité, notamment via l'intégrations de services à forte valeur ajoutée. Les polices de cyber-assurance, enrichies de prestations de réponse aux incidents et d'accompagnement, permettraient de coupler efficacement les aspects techniques et assurantiels. De plus, l'analyse de la chaîne de valeur de la cyber-assurance et la forte probabilité que les cyber-risques soient à l'origine de catastrophes de grande ampleur dans un futur proche révèlent que les réassureurs joueront un rôle clef dans la couverture du risque et le développement du marché. Enfin, l'enjeu majeur des années à venir sera également de structurer les normes en termes de solutions de cyber-assurance et de les faire connaître. Cependant, la standardisation des contrats nécessite que les assureurs et les courtiers accroissent leur base de connaissance et d'expertise, et réclame ainsi un travail au niveau des fédérations d'assurance. De facto, elle continuera de se développer en même temps que s'étirera l'historique sur les évènements de cybercriminalité.

Sources1 CESIN - Baromètre de la cyber-sécurité des entreprises vague 3 (janvier 2018)2 Lloyd's / Cyence – Rapport risques émergents : « Evaluer les coûts l'exposition au risque cyber décodée » (2017)3 Légifrance - Code des assurances (Version consolidée au 3 janvier 2018)4 Les Echos - Le règlement européen sur les données effraie les entreprises (avril 2017)