Réduire les cyber-risques : la cyber-assurance est-elle la solution ?
Jean-François Pruvot
Jean-François Pruvot
La cyber-assurance peut-elle réduire les risques cybernétiques ? Dans l'absolu, la réponse est oui car en général, on considère qu'une entreprise souscrivant à une cyber-assurance en vue d'atténuer les risques, prend des mesures proactives pour se protéger. De fait, le marché de la cyber-assurance est naissant mais le volume de primes souscrites est en croissance soutenue. Selon une étude de Marsh, leader mondial du courtage d'assurance et de gestion des risques, le marché devrait atteindre deux milliards de dollars aux Etats-Unis et croitre de 50 à 100% par an en Europe. Souscrire à une assurance est une chose, mais bénéficier d'une couverture qui compensera de façon adaptée les préjudices causés par une faille informatique s'avère plus compliqué.
En théorie, contre une prime adéquate, une compagnie d'assurance sera prête à assurer une organisation contre la majorité des risques. Prenons l'exemple de la création d'un contrat de prévention contre le terrorisme qui est aujourd'hui tout à fait envisageable ; si des organisations acceptent d'assumer le coût de la prime, les assureurs couvriront des risques même s'ils restent difficiles à identifier. Toutefois, si une organisation est assurée contre le risque d'une attaque terroriste, est-elle pour autant dispensée de recruter des vigiles ou d'installer des portes sécurisées afin de réduire le risque ?
Les organisations doivent répondre à deux questions principales lorsqu'elles passent en revue les nouvelles cyber-protections proposées par les compagnies d'assurance : la nécessité ou non d'investir d'importantes sommes dans des contrôles de sécurité internes et les moyens de réduire les primes.
Les investissements dédiés aux contrôles de sécurité internes doivent absolument être maintenus. En effet, sans une approche efficace et responsable en matière de sécurité des organisations, leur compagnie d'assurance pourrait refuser de les dédommager en cas d'attaque. Si nous prenons l'article 34 de la loi sur l'Informatique et les Libertés de la CNIL selon lequel « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », une disposition similaire pourrait apparaître dans les contrats d'assurance.
Les primes de base reposeront probablement sur le principe de payer davantage pour une meilleure couverture ; cependant, au fil du temps, la concurrence pourrait faire baisser les prix, forçant ainsi les compagnies d'assurance à trouver des moyens d'atténuer les risques liés à leurs produits. Les assureurs pourront par exemple exiger des organisations une conformité à la norme ISO 27002. Alternativement, ils pourront insister sur la tenue d'audits de sécurité spécifiques avant la signature d'un nouveau contrat d'assurance contribuant ainsi à l'essor d'un tout nouveau marché : celui des auditeurs en cyber-assurance.
Avant de souscrire à une cyber-assurance, il est essentiel que l'entreprise évoque certains aspects spécifiques avec son agent d'assurance. Par exemple, est-ce-que l'assurance couvre également les clients et les partenaires ? D'autres éléments, tels que les pertes de données, les dégâts matériels (sites Web, etc.), les amendes en cas d'infraction à un règlement, ou encore le coût des mesures correctrices, doivent également faire l'objet d'une réflexion dans le cadre de la couverture offerte par les assurances.
L'autre problématique consiste à identifier qui, au sein de l'entreprise, est en mesure de répondre à ces questions. Est-ce le PDG, le Directeur des opérations, le Directeur des systèmes d'information, le Responsable de la sécurité des systèmes d'information la direction des risques, plusieurs membres de la direction ou le conseil d'administration dans sa globalité ?
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Les contrats d'assurance d'une entreprise ne sont habituellement pas soumis au département IT, mais en matière de cyber-assurance, il est fort probable que les équipes IT soient plus à même de comprendre les risques. Les conseils d'administration, qui comptent parmi leurs membres des directeurs IT ayant évolué dans un contexte commercial, seront en mesure de répondre de façon adéquate à ces questions.
La cyber-assurance est un formidable outil de gestion des risques pour les organisations. Toutefois, cette couverture ne peut et ne doit en aucun cas se substituer à la mise en place de politiques et de contrôles de sécurité efficaces, ni dispenser une organisation de former en continu son personnel aux règles de sécurité. Les cyberattaques, que celles-ci émanent de hackers, de groupes soutenus par un Etat ou d'activités d'espionnage ne vont pas cesser de sitôt, ce qui signifie que les organisations doivent impérativement se munir de plusieurs moyens de défense.
Jean-François Pruvot