Recherche

Assurance des cyber-risques: quelle couverture adopter?

Publié par le
Lecture
3 min
  • Imprimer

Le volet dommages aux biens recouvre principalement le risque de perte d'exploitation: frais de reconstitution des données, perte d'exploitation liée à l'interruption de l'activité provoquée par une atteinte au SI... "Ce besoin concerne les activités pour lesquelles une atteinte au SI comporte un risque d'interruption de l'activité qui, même sur un laps de temps très court, est susceptible de générer une perte d'exploitation quantifiable, précise Alain Depiquigny. C'est le cas des sites de vente en ligne qui peuvent, par exemple, subir une attaque DDos (déni de service distribué), laquelle consiste à bloquer les serveurs par saturation, ou encore des activités industrielles dont les installations sont pilotées à distance (systèmes Scada)."

Manque de recul sur les cyber-risques

"La nature évolutive des risques fait que nul, aujourd'hui, ne peut connaître leur prix réel", déclare Jean-Marc Sarter. Les assureurs manquant de recul statistique sur le cyber-risque, il s'ensuit de grandes amplitudes tarifaires entre les compagnies. Pour définir son besoin de couverture, l'entreprise doit établir une cartographie de ses risques cyber.

"Idéalement, le contrat d'assurance souscrit doit reposer sur une étude qui comprend la cartographie des risques, l'analyse des vulnérabilités, les moyens de prévention pragmatiques mis en oeuvre pour y remédier, une classification des données précisant leurs moyens de protection, des tests d'intrusion réalisés pour détecter les failles...", précise Alain Depiquigny. Une démarche qui, dans l'idéal, sera menée par une entreprise d'audit en sécurité informatique, mais qui peut déjà être initiée par le Daf en recensant les serveurs, les logiciels, les utilisateurs... Des méthodes spécifiques d'analyse des risques, telles que Mehari, Ebios ou Octave, permettent une analyse rationnelle de la sécurité des SI au regard des normes ISO.

Pour l'assureur, la première base d'analyse sera le questionnaire initial rempli par le prospect, qui détaille la composition du SI, les habitudes des utilisateurs, mais aussi des systèmes de sécurité existants. La souscription sera actualisée chaque année au regard des statistiques des sinistres ou de l'évolution prévisible des risques, évaluée via un ­questionnaire, un audit ou la visite d'un inspecteur. Car, comme le rappelle Alain Depiquigny, "l'assurance cyber n'est pas ­l'alternative à la prévention/protection du SI, mais son complément".

Les cyber-assurances et les PME (non exhaustif)

- La compagnie d'assurances Hiscox propose le contrat "Data risks by Hiscox", qui s'adresse aussi bien aux petites entreprises qu'aux grands comptes et couvre les risques liés à la sécurité des données, pour toutes les entreprises responsables du traitement de données à caractère personnel et/ou en possession de données sensibles (exemples de secteurs d'activité : marketing et communication, entreprises de services, d'édition de contenus...).

- La compagnie américaine CNA, leader dans le domaine médical aux États-Unis, propose des solutions sous forme de package ou en police individuelle, dont l'offre Netprotec, qui s'adresse plus particulièrement à l'industrie, aux établissements de santé, institutions financières, etc. À noter: CNA développe des contrats mixtes fraude et cyber.

- L'assureur Zurich propose également une police "Cyber security and privacy" adaptée aux ETM.

- XL Catlin, pour sa part, a annoncé en septembre 2016 le lancement d'une offre cyber dédiée aux PME et aux ETI, avec deux niveaux de couverture proposés.

- Enfin, Beazley, acteur historique de l'assurance des cyber-risques, a développé "Beazley breach response" pour assurer les entreprises contre les risques en matière de cybercriminalité et violation des données.

>> Découvrez en le témoignage d'un risk manager qui a mis en place une assurance cyber dans son entreprise.

Benedicte Gouttebroze

S'abonner
au magazine
Retour haut de page