Assurance des cyber-risques: quelle couverture adopter?
[Cas pratique] Loïc Leymarie, directeur des risques, compliance et assurance du groupe Adeo, membre de l'Amrae
"Avec le cyber, on bascule dans un mode de fonctionnement en gestion de crise"
> Dans quel contexte avez-vous eu à vous pencher sur la question de l'assurance des cyber-risques?
Le groupe Adeo exerce dans la grande distribution, plus précisément dans la vente de biens de consommation pour le bricolage, l'aménagement de la maison et la décoration Or, ces dernières années, le développement de l'e-commerce ainsi que des services en ligne impose de revoir les priorités de l'entreprise comparativement au passé, où le magasin physique était le principal point d'attention. Nous basculons d'un monde du matériel, où les risques sont connus et définis, à un monde du numérique, où le risque est difficile à évaluer, d'où la nécessité de se couvrir.
> Quelles sont les grandes étapes de ce chantier?
La première étape est de se demander ce qu'il va se passer. En cas d'incendie d'un magasin, par exemple, on peut prévoir les conséquences, mais dans une économie numérique, qu'est-ce qu'un hack va impliquer? Nous avons fait une analyse avec notre responsable de la sécurité des systèmes d'information (RSSI) et différents acteurs de l'entreprise pour étudier les conséquences en cas de hack et évaluer l'impact financier. Nous avons surtout fait des projections sur la façon dont nous allions réagir: quels dispositifs mettre en place? Quelles réponses apporter aux clients? Avec le cyber, on bascule dans un mode de fonctionnement en gestion de crise. Puis nous avons soumis les différents scénarios aux assureurs, afin d'étudier avec eux ce qu'ils prenaient en charge.
> Quels conseils souhaiteriez-vous délivrer à une entreprise qui envisage d'adopter une assurance des cyber-risques?
Ma recommandation serait de considérer que cette assurance cyber doit toujours coller au plus près à l'évolution de l'activité de l'entreprise. Cette assurance étant basée sur des sujets IT/technologiques, il faut veiller à suivre les évolutions internes de l'entreprise. Ce principe peut s'appliquer à toute police d'assurance, mais dans le cas de l'assurance cyber, cela est d'autant plus important car les évolutions sont plus rapides. En conséquence, la souscription d'une police cyber impose de réunir les bonnes compétences internes nécessaires pour éviter de se faire appliquer un contrat type du marché et customiser au mieux les garanties pour correspondre aux besoins de l'entreprise.