La cyber-assurance ne permet pas d'échapper au cyber-risque

Les entreprises ne peuvent se contenter de s'assurer, elles doivent adopter une stratégie globale face aux cyber-menaces. Par Piyush Pant, ‎Vice President - Strategic Markets, chez MetricStream.

 Les risques commerciaux comprennent tous les facteurs qui peuvent avoir un impact négatif sur le rendement, les opérations, les revenus et la croissance d'une entreprise. Le vote pour le Brexit est un rappel opportun de l'impact de ces risques et de la raison pour laquelle ils doivent être gérés. De nombreux gouvernements, y compris celui du R.-U., ont été surpris du vote en faveur de la sortie et ne l'avaient pas adéquatement prévu, ce qui a créé une incertitude de masse autour du globe.

Les multinationales n'ont encore aucune certitude quant à la relocalisation ou non de leur personnel vers d'autres pays, afin de garantir leur accès à marché unique, par exemple, et cette hésitation continue d'affecter l'économie du R.-U. et l'économie mondiale. Le vote pour le Brexit est un séisme, un événement qui ne se produit qu'une fois par génération, mais des risques bien plus communs peuvent être tout aussi dévastateurs pour les entreprises impliquées. En effet, en 2016, il existe un type de risques qui pèse lourdement sur chaque chef d'entreprise dans le monde, contre lequel les formes traditionnelles d'assurance commerciale semblent ne pas faire le poids - le cyber-risque.

 Cyber menaces

En dépit de la fréquence croissance des cyber-attaques et des violations de données, il y a un manque de familiarité avec le sujet du cyber-risque. Il s'agit encore d'une menace relativement récente et, tandis que les entreprises et les décideurs peuvent avoir un sens théorique des effets potentiels, la plupart d'entre eux n'y ont pas encore été confrontés directement - du moins, pas dans la même mesure que Target, Sony et TalkTalk - qui sont tous désormais synonymes de violations de données.

 C'est un problème qui se complexifie encore plus lorsque la nature multidimensionnelle des cyber-attaques est envisagée. Le risque ne peut être pas analysé à partir d'un seul point de vue. Une cyber-menace peut impliquer l'infrastructure, les données, les processus et les autres combinaisons, et peut se manifester sous forme de vol, de corruption ou de manipulation des capacités simultanément. Par conséquent, le cyber-risque ne menace pas simplement une seule fonction commerciale, mais leur ensemble en même temps. De plus, puisque la sophistication des cyber-attaques continue de s'accroître, la détection et la sensibilisation sont encore des processus très réactifs.

 La cyber-assurance, en pleine expansion

Pour contrer l'incertitude, beaucoup se sont tournés vers la cyber-assurance. C'est un domaine en pleine expansion, avec un investissement mondial atteignant les 4,8 milliards de livres d'ici 2020, selon PWC, alimenté par les gros titres informant des cyber-attaques sur les entreprises d'envergure, comme celles mentionnées plus haut. Cependant, en comparaison des autres marchés de l'assurance, l'offre générale en cyber-assurance reste notablement sous-développée. Avec un manque de données historiques cohérentes requises pour se familiariser avec les retombées potentielles issues d'une cyber-attaque ou d'une violation, les assurances atténuent le risque qu'ils courent eux-mêmes grâce à leurs tarifs. Ceci a pour effet de très fortes fluctuations des prix et, pour de nombreuses entreprises, cela signifie qu'investir pour se protéger n'est pas toujours logique, d'un point de vue économique. C'est pour la même raison que la plupart n'achète pas d'assurance contre les catastrophes pour les événements rares.

 Une stratégie globale

Par conséquent, la cyber-assurance ne doit pas être considérée comme la première mesure de réaction contre le cyber-risque, elle doit seulement faire partie d'une stratégie plus holistique. Cette dernière est constituée de mesures préventives - qui réduisent le risque que des hackers pénètrent le système et ne l'endommagent trop en premier lieu - et aussi d'une stratégie de gestion des crises complète qui donne la priorité à la continuité des opérations et la gestion du risque de réputation. Avec un plan d'action détaillé, les sociétés évitent de courir dans tous les sens de manière inconsidérée immédiatement après un événement et peuvent prendre des mesures pour protéger les fonctions vitales, qui autrement subiraient le plus gros des dégâts.

 La continuité des opérations se réfère à la capacité d'une entreprise à poursuivre la livraison des biens et des services, suite à un événement perturbateur. Cela implique de déterminer ce qui est absolument essentiel au bon fonctionnement de l'entreprise. Tout doit être évalué, des employés et matériaux aux machines et processus, pour que la société sache exactement ce qu'elle peut retirer afin de réduire les coûts dans le pire des cas.

Une gestion des crises complète

 La réputation d'une entreprise est un actif incorporel qui lui permet d'attirer les clients. Chaque décision et action commerciale aura un impact sur la perception des intervenants. Après une cyber-attaque, elle doit montrer qu'elle prend les mesures pertinentes pour réparer les dégâts causés. Si une entreprise n'a pas de plan en place, alors le remboursement de l'assurance après la cyber-attaque ne l'aidera pas forcément. Par exemple, suite à sa violation des données en 2013, Target n'a pas fait part de la situation aux clients touchés, une action pour laquelle l'entreprise a été vertement critiquée par la suite. La couverture d'assurance peut avoir été utile en ce qui concerne les nombreux règlements et les coûts des mesures correctives mais cela n'a pas empêché la marque d'être perçue très négativement par les médias. En plus de l'impact inévitable sur les ventes, il y eut des victimes parmi les employés puisque Gregg Steinhafel a démissionné de son poste de PDG.

 Enfin, les entreprises ne peuvent se contenter de souscrire une cyber-assurance et penser qu'elles vont échapper au cyber-risque. Le marché et le domaine sont toujours sous-développés et l'assurance ne peut pas toujours atténuer les risques sur la continuité des opérations et la réputation, les deux fonctions qui permettent le bon fonctionnement d'une organisation. Les entreprises ayant une stratégie de gestion des crises complète peuvent réagir immédiatement en cas de cyber-attaque ou de violation des données, réduisant ainsi le risque de dégâts irréparables.

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.