Cyber assurance : quels modèles pour quelle police ?
Lors des Assises de la sécurité et des systèmes d’information, qui se sont tenues en octobre dernier à Monaco, une table ronde était organisée autour d’une problématique cruciale pour les entreprises : les assurances face aux cyber risques. Les polices d’assurance investissent ce secteur spécifique et créent des contrats dédiés aux problématiques des nouvelles technologies. Les intervenants ont décrypté l’utilité de ces polices pour les entreprises et leurs responsables de la sécurité des systèmes d’information (RSSI).
La police d’assurance cyber : un produit qui n’a pas encore de standards
Les contrats d’assurance qui couvrent les sinistres informatiques ou technologiques sont encore balbutiants. Parfois, des polices d’assurance classiques comportent des clauses cyber : c’est un argument commercial pour les entreprises, elles achètent un service supplémentaire. En revanche, par rapport à un contrat de cyber assurance, ces clauses sont certes moins chères, mais elles couvrent moins de situations.
Ces contrats « hybrides » sont incomplets et les indemnisations risquent d’être trop faibles. Philippe Cotelle a illustré ce phénomène au travers d’un exemple : dans le cadre d’un incident classique type incendie, les indemnisations couvrent un événement matériel. Or, dans le cadre d’un sinistre technologique, l’entreprise fait face à un événement immatériel. Même si ce dernier impacte le système interne ou les clients de l’entreprise, les dommages ne peuvent pas être matérialisés, chiffrés.
Autre exemple significatif : en ce qui concerne la défense, tout est couvert et formalisé par défaut. Les investigations sont récurrentes et les risques sont connus.
En revanche, dans le secteur privé, si l’entreprise n’est pas un OIV (Opérateur d’importance vitale), il n’y a pas de couverture financière en cas de sinistre informatique. Les services financiers paient par défaut le temps consacré à la restauration, avec un budget dédié. Mais sur le long terme, les sociétés doivent s’organiser pour pérenniser leur cyber protection.
En plus de la police d’assurance globale, il est recommandé d’établir un contrat dédié aux risques informatiques. Ces assurances doivent envisager de nouveaux scenarii, comprendre que le champ d’action est immatériel, et non pas un territoire physique.
Le contrat doit comporter des spécificités propres au cyberespace. On peut citer deux conséquences à ce choix de couverture de risques : d’une part, l’indemnisation sera pertinente, d’autre part, l’assureur pourra offrir à son assuré un service adéquat pendant la gestion de la crise et une expertise au redémarrage.
Si l’argument ne concerne pas une structure du CAC40, les TPE-PME peuvent être sensibles à l’existence de ces supports techniques. Souscrire à une cyber assurance écarte le risque d’être sous-assuré en cas de sinistre. Ce contrat complète l’assurance globale de l’entreprise.
Le rôle croissant des RSSI et des assureurs
Comme les cyber assurances sont encore incomplètes, les RSSI peuvent exprimer des besoins précis et calibrer leurs contrats. En amont de cette possibilité, les acteurs de la sécurité informatique d’une entreprise doivent comprendre cet outil de cyber assurance, que ce soit le volet assistance ou le volet budget. Plus précisément, le RSSI identifie, dans ces dimensions techniques, ce qui peut impacter le fonctionnement de l’entreprise ou les clients de cette dernière.
Avec les scenarii élaborés, l’assureur et le RSSI établissent des montants. Les options de la police d’assurance sont définies par la nature des risques listés. Les conférenciers ont également mis l’accent sur le bénéfice indirect de ces contrats spécifiques : si le RSSI a bien identifié ses risques majeurs, il est plus solide pour présenter un budget cohérent aux dirigeants de l’entreprise. De ce fait, la police d’assurance et son prix font sens.
Le RSSI propose une couverture crédible du système informatique. En aval du contrat, le réassureur de l’assurance saisit aussi une opportunité : les intervenants défendent un système vertueux si une police d’assurance technologique est signée par l’entreprise et son assureur.
Une relation inédite entre cyber-assureur et cyber-assuré
Dans un contrat classique concernant une maison, une voiture ou encore la santé du souscripteur, l’assureur est prescripteur. Il a recours à des experts ou des praticiens et analyse les éventuels manquements au contrat avant indemnisation. Dans un contrat de cyber assurance, l’assureur n’a pas le choix : il doit faire confiance à la société et à son RSSI. Il ne peut pas faire expertiser un endroit immatériel comme un cloud. Le travail des RSSI effectué en amont d’un possible sinistre ne peut pas être remis en cause.
Cette souplesse pour les différents acteurs de la cybersécurité existe tant que ce secteur n’est pas encore arrivé à maturité, comme c’est déjà le cas pour l’assurance immobilière ou automobile.
Intervenants : Thierry Auger, CIO&CISO, Jean Bayon de la Tour, Cyber development leader/Marsh, Philippe Cotelle, dirigeant d’Insurance Risk Management/Airbus, Sébastien Héon, SCOR.
Modératrice : Cécile Desjardins, journaliste.