L’assurance cyber, pour couvrir les derniers risques

Votre entreprise est-elle prête à faire face à toutes les menaces ? Est-elle en mesure de se remettre d’une attaque, de résister à la pire des crises cyber ? Dans un monde toujours plus connecté, plus complexe, et donc incertain, l’intérêt pour les assurances cyber se renforce considérablement.
Par Sébastien Lambotte, pour ITnation Magazine - Edition Juin 2019

Le risque zéro n’existe pas. Quand on parle cyber-sécurité, cela fait longtemps qu’on le répète, la question n’est plus de savoir si l’on se fera un jour attaquer. Non, il s’agit de se demander quand… Prenant conscience d’une menace permanente, chacun devra pouvoir se préparer au mieux afin d’y faire face. Considérer la multiplicité des enjeux cyber et la gestion des risques est un exercice complexe. L’organisation qui affirme être totalement protégée face au risque cyber pèche par arrogance. Car personne, vraiment personne, ne peut affirmer être à l’abri.

Pouvoir faire face à la crise

Dans ce monde hostile et incertain, on ne tient désormais plus rigueur à une entreprise qui reconnait avoir été victime d’une attaque, pour peu qu’elle ait fait le nécessaire afin d’être en mesure de bien gérer la crise, de pouvoir réagir pro-activement pour limiter et réparer les dommages causés. Ce que l’on excuse plus toutefois, dans ce monde de plus en plus digital, c’est qu’une société victime ne soit pas suffisamment préparée pour réagir comme il le faut en temps de crise. 

Faire face à la menace, quelle que soit sa forme, implique avant tout de bien se préparer, de protéger ses systèmes, de mettre en place les bonnes procédures, de monitorer ses réseaux à la recherche de la moindre anomalie. Une bonne identification des risques, au départ de l’activité que l’on mène, du secteur dans lequel on évolue, de la configuration de l’entreprise et des interdépendances existantes dans son écosystème, doit conduire chaque dirigeant à prendre les bonnes mesures. Pour être efficient dans ce domaine, il faut pouvoir envisager tous les scénarios, même les pires, afin de définir comment bien réagir en cas de crise. 

 

D’abord réduire et éliminer les risques

Très rapidement, chaque organisation identifiera les meilleures mesures à prendre pour se protéger. Certaines peuvent être relativement simples à mettre en œuvre. D’autres pourront impliquer davantage de moyens. Dans beaucoup de cas, il est possible d’éliminer de nombreux risques, ne fût-ce que par une meilleure sensibilisation du personnel par exemple, ou tout du moins de les réduire considérablement. Cependant, certains vont subsister. C’est à ce moment qu’interviennent les contrats d’assurance couvrant les cyber-risques. Les sociétés les plus matures dans le domaine de la cyber-sécurité, celles qui font preuve d’une réelle lucidité face à l’étendue de la menace, ont bien compris l’intérêt de souscrire à ce type de couverture. Il faut cependant faire le constat qu’elles sont encore peu nombreuses. La taille du marché de la cyber-assurance, en Europe, reste relativement modeste. Il est toutefois appelé à grandir, fortement et rapidement. 

 

Un marché énorme en devenir

D’après les projections que le géant allemand de la réassurance, Munich Ré, a partagé au deuxième semestre 2018, ce marché pourrait atteindre entre 8 et 9 milliards de dollars de primes brutes émises au niveau mondial d’ici 2020. Et en 2025, il devrait s’élever à 20 milliards de dollars. Les assureurs qui ont investi sur ce créneau, et ils sont de plus en plus nombreux, le confirmeront : la demande explose. 

Il faut dire que les attaques géantes, largement médiatisées, à l’image de WannaCry ou de NotPetya, font prendre conscience aux organisations de leur exposition. De plus en plus, elles comprennent l’exigence de mieux se préparer et se demandent effectivement comment garantir la continuité des activités au-delà d’une crise majeure. De plus en plus, comme le révèlent plusieurs études, les cyber-incidents sont vus par les dirigeants d’entreprise comme leur menace numéro un. Dans ce contexte, la cyber-assurance est une des réponses à leurs inquiétudes.  

 

Des couvertures très larges

Mais quelles garanties apportent une couverture face aux cyber-risques ? C’est la question que doivent se poser les entreprises qui seraient tentées de souscrire à une des nombreuses formules aujourd’hui proposées sur le marché. Car l’offre est vaste, tout comme la gamme de tarifs. Selon le contrat, il est possible de couvrir de nombreux dommages provoqués par une l’attaque, comme ceux causés au matériel et impliquant des réparations ou remplacements, les pertes de chiffre d’affaires suite à un dysfonctionnement, en cas paralysie des systèmes par exemple. La cyber-assurance peut aussi compenser des dommages causés à la réputation ou soutenir financièrement l’organisation dont la responsabilité est mise en cause. 

Il est donc aujourd’hui possible d’appréhender, au travers de telles couvertures, les risques dans leur globalité. Face à l’offre, il faut bien considérer l’étendue des couvertures envisagées, au regard de sa situation, en fonction des cas de figure imaginés.

 

Un outil de cyber-sécurité essentiel… parmi d’autres

Évidemment, de telles couvertures ont un coût. Opter pour la bonne couverture implique avant tout de pouvoir bien évaluer les risques, notamment financiers, auxquels l’organisation est exposée. En la matière, il est important de faire preuve de réalisme. Beaucoup seront en effet tentés de verser soit dans l’alarmisme, soit dans l’excès de confiance. Tout part donc, encore une fois, d’une bonne gouvernance des risques à l’échelle de l’entreprise. Les courtiers, en la matière, peuvent soutenir les entreprises, continuer à les sensibiliser, les aider à mieux évaluer les risques financiers. La cyber-assurance, au final, est un outil de cyber-sécurité parmi d’autres. Si elle est aujourd’hui effectivement essentielle, elle doit s’intégrer dans une approche globale de gestion du risque, permettant de se prémunir face aux risques résiduels, ceux que l’on ne peut pas éliminer grâce aux mesures de protection et de bon sens qui peuvent être prises en amont.  

Aucun commentaire pour le moment.

Réagissez à cet article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *