Close
  • Français
  • English

Assurances et cybersécurité [par Hugo Lemarchand, CEIS]

L’assurance cyber, un marché en plein essor

Les récents incidents de sécurité, largement médiatisés, comme l’attaque récemment subie par JP Morgan[1], ont joué un rôle de catalyseur dans la prise de conscience de l’impact financier que peuvent engendrer des incidents touchant les systèmes d’information. Dans le même temps, les cadres juridiques adoptés, ou en passe de l’être, encouragent les entreprises et les institutions à s’assurer, en imposant des contraintes strictes aux opérateurs ayant par exemple des données à traiter. Une majorité des chefs d’entreprise craignent également de voir leur responsabilité engagée suite à un incident et réfléchissent à la problématique de l’assurance[2] : après l’attaque subie par Target début janvier 2014[3], le PDG[4] et le DSI[5] du groupe ont été contraints de démissionner, la démission de dirigeants étant une première au niveau mondial.

L’assurance cyber, un produit récent sur le marché français

L’assurance cyber est assez récente en France[6]. Issue des Etats-Unis, et plus largement du monde anglo-saxon où la culture du litige est ancrée dans les mentalités, les polices d’assurance sont essentiellement basées sur la responsabilité civile. Si depuis une quinzaine d’années, les assureurs proposaient des polices informatiques, ces dernières ne concernaient que le matériel. Outre-Atlantique, ces produits d’assurance sont nés il y a 10 ans, du fait d’une législation très contraignante et des conséquences financières qu’ont pu engendrer certains incidents, le recours aux class-actions augmentant largement les conséquences de ces derniers. Mais les offres s’adaptent en permanence : suite à l’attaque de Target, la question d’intégrer une garantie RCMS (Responsabilité Civile des Mandataires Sociaux) dans une police cyber s’est posée. A priori, ce type de garantie, tout comme le détournement de fonds, sont couverts par des polices propres. Les assureurs et les courtiers se sont alors lancés dans une identification des « trous » de garantie, afin de proposer des couvertures adaptées à leurs clients.

L’assurance, un outil de management des risques comme les autres?

Utilisée pour transférer le risque et protéger les entreprises contre les pertes de chiffre d’affaires, l’assurance est généralement gérée par les directeurs financiers et les gestionnaires de risque. Mais ces derniers ne mesurent pas nécessairement l’importance et l’étendue des systèmes d’information au cœur de l’activité de leur organisation, tout comme le RSSI n’est forcément à même de comprendre toutes les ramifications de certaines exclusions[7]. Dans le même temps, l’implication des professionnels de la sécurité dans les décisions relatives à la couverture est souvent limitée, malgré la nature critique des études préalables sur la posture de sécurité utilisées par les assurances pour définir les polices et traiter les demandes d’indemnisation.

Les acteurs du marché français de l’assurance cyber

Une dizaine d’acteurs s’intéressent au marché français de l’assurance cyber et proposent des offres spécifiques. Du côté des courtiers, la liste est beaucoup plus courte puisque seuls trois courtiers sont présents sur le marché. Pour chaque assureur, plusieurs critères sont à prendre en compte dans la comparaison de leurs offres cyber : les risques couverts, leurs capacités et leur positionnement.

Les risques couverts

Les produits d’assurance cyber diffèrent des assurances informatiques classiques en ce qu’elles couvrent non seulement les risques liées au patrimoine matériel, comme la destruction, mais aussi les conséquences d’un incident que le matériel subirait : l’espionnage dû à une intrusion, les pertes d’exploitation dues à une interruption, les coûts de remise en état suite à une contamination ou l’atteinte à la réputation suite à une utilisation frauduleuse.

La principale différence se situe surtout au niveau des données, personnelles ou non, qu’une organisation utilise dans ses activités quotidiennes, et dont la sauvegarde est essentielle pour trois raisons. La confidentialité, d’abord, à laquelle tous les opérateurs sont tenus, notamment pour les données personnelles, bancaires ou encore médicales. L’intégrité, trop souvent négligée, qui garantit que les données sont bien ce qu’elles sont censées être. La disponibilité enfin, qui permet à toute organisation de fonctionner.

En France, on estime le coût moyen d’une donnée à caractère personnelle compromise à 127 euros[8]. Pour une base de données de 100 000 clients, un chiffre qui n’est pas très élevé pour un acteur de la grande distribution, cela représenterait un coût de plus de 12 millions d’euros. Les atteintes aux données personnelles représentent donc un enjeu majeur pour les organisations, qui seront bientôt soumises au futur règlement européen sur la protection des données à caractère personnel.

Dans le cas d’un incident informatique ayant entrainé une atteinte aux données, les coûts sont multiples : gestion de crise, expertise et Forensics, notification aux autorités et aux personnes concernées, amendes et sanctions pécuniaires, monitoring et surveillance de l’utilisation des données compromises, relations publiques, etc. Dès lors, les risques peuvent être répartis en trois catégories[9] : l’atteinte aux données des tiers, l’atteinte aux données à caractère personnel et l’atteinte au système d’information.

Les contrats d’assurance développés sur le marché français proposent des couvertures radicalement différentes d’un assureur à l’autre. A titre d’exemple, peu d’assureurs proposent une garantie couvrant les erreurs humaines ou le paiement d’une rançon suite à une cyber extorsion. Il existe cependant un socle comme les garanties « responsabilité civile » et les garanties « dommages »[10].

Les garanties « responsabilité civile » couvrent la responsabilité pour l’atteinte aux données et à la sécurité du système d’information, la responsabilité pour les préjudices d’images, les dommages et les intérêts punitifs, les frais d’enquête et les sanctions d’une autorité administrative. Toutefois, les polices d’assurance de responsabilité civile générale comprennent généralement des exclusions de garantie telles que la divulgation de données personnelles, confidentielles ou de secrets professionnels ou les dommages causés aux tiers suite à la transmission d’un virus.

Les garanties « dommages » couvrent notamment les frais d’exploitation, les frais de préservation d’image, l’extorsion, et les frais annexe.

L’apport du « service » dans la gestion d’un incident cyber

Un modèle intéressant est celui d’un assureur britannique, qui se différencie sur l’apport de service. En cas de sinistre, l’assureur met à disposition une personne chez l’assuré pour coordonner la gestion de crise avec l’ensemble des acteurs y participant. Cette approche est intéressante lors de la survenance du sinistre : l’assuré s’est préalablement entouré de partenaires, ce qui évite de chercher et de contractualiser en pleine crise, et par la même occasion de négocier en position de faiblesse. La police d’assurance propose donc une prestation de bout en bout. Cette approche intégrée a fait ses preuves sur le marché anglo-saxon, où la plupart des clients de l’assureur britannique ont souscrit ce type de contrat.

Une autre approche repose sur le partenariat, à l’image d’Allianz et de Thales ou du courtier Marsh avec Sogeti. L’objectif est dans ce cas de réfléchir sur le risque avec l’assuré, de délimiter les contenus à couvrir, d’identifier les mesures déjà en place, etc. Bref de montrer aux assureurs la maturité du client.

Les capacités du marché français

Le marché français de l’assurance cyber est estimé entre 250 et 300 millions d’euros de capacités mobilisables, auxquelles on peut ajouter des capacités mobilisables sur le marché londonien à hauteur de 100 millions d’euros. Si l’on prend l’exemple de l’attaque de Target, le marché français semble alors bien sous-dimensionné pour répondre à un tel sinistre.

Généralement, les primes annuelles pour l’assurance sont d’un montant compris entre 10 000 et 35 000 euros par million couvert. Il n’est pas rare que la couverture d’un assuré se fasse à travers des montages proposés par un courtier, dans lesquels plusieurs assureurs se succèdent pour la prise en charge d’un seul et même risque. Il s’agit d’une assurance destinée à compléter après épuisement le montant de l’assurance dite de première ligne. Il est important de noter que ce type de montage exclut la solidarité entre assureurs : par conséquent, chaque assureur est uniquement tenu par ses propres engagements et l’assurance de seconde ligne n’a pas pour objet de pallier l’insuffisance ou la défaillance de l’assurance de première ligne. Le principe de ce type de montage est de ne pas limiter le montant d’une garantie qu’un assureur seul refuserait d’octroyer, notamment en fonction de ses capacités.

Politique et conditions de souscription

Pour évaluer les risques, et donc le coût de la police, de la franchise, voire même de décider d’assurer ou non le client, les assureurs se basent sur un certain nombre d’éléments qu’ils recueillent auprès de leurs clients  à travers un questionnaire de souscription.

L’assurance comme levier à la cybersécurité

Lors de la souscription, l’assureur interroge notamment l’entreprise sur la nature de ses activité et sur son chiffre d’affaires. A ces questions relativement classiques s’ajoutent des questions propres aux garanties cyber tel que le niveau de dépendance de l’organisation à son système d’information. D’autres éléments concernent directement le risque cyber, tels que l’existence d’une politique SSI ou les accès logiques et physiques au système d’information. L’assureur vérifie également l’existence d’un plan de gestion de crise en cas d’incident et son efficience à travers l’organisation régulière d’exercices de crise par exemple.

Pour le cas particulier des données, l’organisation est interrogée sur son périmètre géographique d’activité et la localisation de l’hébergement des données. Les filiales sont également importantes à déclarer du fait de certaines architectures globalisées ou d’outils partagés. La nature des données (personnelles, médicales, bancaires, etc.) ainsi que les personnes habilitées à les manipuler font également partie des questions posées par l’assureur.

La prévention est essentielle en matière de risque cyber. En cela, la réalisation d’audits, la mise en place de politiques ou l’entrainement à la gestion de crise permettent à l’assurance d’agir comme un levier sur le niveau de sécurité des assurés, à travers une mesure incitative : plus l’organisation concernée aura mise en place des dispositifs de prévoyance, plus le montant de sa prime en sera réduit.

Enfin, comme lors d’une souscription d’une assurance automobile, l’assureur interroge également le souscripteur sur les sinistres subis précédemment.

Vers une standardisation de l’assurance cyber ?

Si les assureurs proposent aujourd’hui des offres intégrées qui répondent aux enjeux contemporains de cybersécurité, les organisations restent encore assez peu sensibilisées à l’étendue des dommages potentiels. Certains leviers, notamment législatifs, agiront sur le nombre de souscriptions de polices cyber. Avec l’entrée en vigueur du règlement européen, toutes les entreprises vont devoir s’assurer, ce qui aura pour conséquence d’augmenter le montant des primes puisqu’il faudra étendre l’assiette des assurés.

Il paraît donc plus intéressant de s’assurer aujourd’hui qu’après l’entrée en vigueur du règlement. Mais l’assurance joue également un rôle de levier sur le niveau de cybersécurité des organisations : les assurés mettent en place une politique de management du risque pour réduire d’autant leur prime d’assurance cyber. Le marché européen de l’assurance reste donc aujourd’hui relativement immature, même si de grands acteurs comme l’industriel Bosch ou l’opérateur téléphonique Deutsche Telekom[11], ont commencé à souscrire[12].

En outre, nombre de décideurs peinent à trouver les bonnes polices en raison d’un manque de standardisation des produits -qui ne surviendra qu’avec l’appui des pouvoirs publics- et de la complexité à établir une couverture adéquate. Un cadre d’assurance cyber a toutefois été́ proposé par le NIST[13].


[1]http://www.latribune.fr/technos-medias/informatique/20141003tribb79c56d1a/cybersecurite-jpmorgan-se-fait-derober-les-listings-de-76-millions-de-clients.html

[2]http://www.argusdelassurance.com/acteurs/80-des-chefs-d-entreprise-craignent-de-voir-leur-responsabilite-engagee-barometre-axa.82911

[3]http://www.argusdelassurance.com/acteurs/target-un-sinistre-cyber-americain-estime-a-plus-de-1md.72088

[4]http://www.usatoday.com/story/money/business/2014/09/12/target-ceo-profile/15456945/

[5]http://www.csoonline.com/article/2363210/data-protection/target-top-security-officer-reporting-to-cio-seen-as-a-mistake.html

[6]interview de Jean Bayon de La Tour, Client Advisor, Financial Institutions & Cyber risk product champion, Marsh

[7]http://www.lemagit.fr/article/La-cyberassurance-en-vaut-elle-la-peine-1e-partie?asrc=EM_MDN_34653914&utm_medium=EM&utm_source=MDN&utm_campaign=20140930_SearchSecurity.fr%20:%20toute%20l%27information%20S%e9curit%e9%20-%20Septembre%202014_

[8]http://www.usinenouvelle.com/article/s-assurer-contreles-cyber-risques.N250240

[9]Interview de Laure Zicry, Responsable Technique Institutions Financières et Cyber Risks Practice Leader, Gras Savoye Corporate Risk Management

[10]http://www.institut-numerique.org/les-cyber-risques-dans-lentreprise-enjeux-et-assurance-52934d7d2152a?PHPSESSID=de4071455fc20ca3698bb77a9998c7e7

[11]http://www.argusdelassurance.com/acteurs/compagnies-bancassureurs/cyber-attaque-allianz-signe-avec-deutsche-telekom.78658

[12]http://www.argusdelassurance.com/acteurs/cyber-risques-bosch-premier-industriel-a-s-assurer-pour-100-m.81003

[13]http://www.cyberriskinsuranceforum.com/content/nist-publishes-draft-cyber-risk-framework