67 % des entreprises françaises ont été victimes d’un cyber-incident sur l’année 2018 : la menace de la cybercriminalité est diffuse. Pour rajouter à la confusion les assureurs proposent des solutions très disparates allant de la simple extension de garantie à prix symbolique à des polices d’assurance dédiées très complexes et portant sur des montants de garantie très importants.
Quelles sont les cyber menaces concrètes et réelles ? Quelles sont celles qui relèvent de l’imaginaire, de l’exagération ou, pour l’instant, de la science-fiction ? Nous vous proposons un tour d’horizon synthétique des solutions existantes et de leurs risques.
Quels cyber-risques protéger ?
Chacun sait que la menace existe et les exemples abondent d’entreprises, y compris les plus prestigieuses et les mieux protégées, qui subissent des attaques dévastatrices. Pourtant elle est difficile à appréhender.
Les solutions disponibles couvrent trois aspects : l’assistance, les dommages et la responsabilité.
L’assistance est la garantie fondamentale et certains assureurs ne proposent que ça. En cas d’attaque il est essentiel de réagir très rapidement sans commettre d’erreurs. Les assureurs proposent des équipes dédiées qui interviennent littéralement au quotidien sur des attaques et parviennent à les déjouer ou à en limiter considérablement les effets. Selon l’activité du client et notamment dans le tertiaire cette garantie peut s’avérer suffisante.
Les dommages constituent un autre élément de garantie intéressant notamment dans l’industrie. Lorsque l’attaque a pour objet la malveillance et notamment la mise hors d’usage ou la détérioration de l’outil de production il peut être nécessaire de couvrir les dommages subis et les pertes d’exploitations consécutives au même titre que pour les événements habituellement couverts tels l’incendie, l’inondation etc..
La responsabilité est le troisième volet de garantie. Au plus tard depuis l’application de la RGPD chacun a pris conscience de ce que peut signifier le vol et la divulgation de données personnelles et/ou confidentielles.
Comment assurer et protéger votre entreprise?
Pour acheter les garanties réellement utiles au bon prix il est indispensable de faire un travail d’évaluation des risques relativement complexe et impliquant toutes les parties concernées, cette démarche prend en général entre 3 et 6 mois. Une fois la cartographie des risques faite et le besoin défini se pose la question de la forme de la couverture.
Contrat séparé ou rajout de garantie ?
Un contrat séparé, sur-mesure ou packagé, souscrit auprès d’un assureur spécialisé ou non peut être mis en place. L’inconvénient est que l’assureur faisant la meilleure offre n’est pas nécessairement le tenant des contrats dommages ou RC ce qui rend le dispositif assurances moins simple à gérer et à superviser notamment si les contrats dommages et RC contiennent des éléments de garantie cyber.
L’extension de garantie peut être une solution confortable mais qui appelle à la vigilance sur deux points :
- La dérogation aux conditions générales pour prendre en compte les spécificités cyber. Très récemment Fleury Michon a fait le choix d’arrêter certaines usines pendant 5 jours pour empêcher des dommages considérables sur l’outil de production dans le cadre d’une attaque. C’était bien entendu la bonne attitude à adopter pour limiter le sinistre et l’assureur aurait pu reprocher à l’assuré de ne pas l’avoir fait. Or dans un contrat dommages classique l’arrêt volontaire d’un site de production en dehors de tout dommage matériel subi n’est pas un événement assuré.
- L’exclusion guerre. Tous les contrats dommages et responsabilités excluent la guerre, c’est une condition des contrats de réassurance. Cette exclusion ne faisait pas débat car par guerre on imaginait les chars soviétiques contre les chars de l’Otan et c’est bien entendu aux états et non aux assureurs d’assumer les réparations. Or une activité hostile d’une puissance étrangère (warlike) destiné à nuire aux infrastructures et aux intérêts économiques d’un pays peut très bien se faire par voie cyber, directement par des états hostiles ou indirectement par des organismes proches du pouvoir dans ces états (state sponsored).
D’ailleurs personne ne s’y trompe puisqu’en France nous avons plus de 1500 cyber-combattants, qui sont des militaires répliquant à ces attaques. Les dommages causés par ces attaques restent toutefois à la charge des assureurs. Il est par conséquent fondamental lorsqu’une garantie cyber vient en adjonction d’une garantie dommages de vérifier à l’adaptation de la clause guerre des conditions générales.
Comment souscrire à une assurance contre les risques cyber ?
L’analyse de la data par les organisations permet de mieux connaître leurs clients. Elle facilite la personnalisation de chaque offre selon tout type de profil.
Les assureurs souscrivent les risques cyber sur la base de questionnaires proposés aux assurés. Ces questionnaires sont longs, fastidieux, parfois difficiles à comprendre et même les DSI doivent consacrer beaucoup de temps à trouver la réponse.
La tentation est dès lors grande de répondre de manière générique, vague, voire approximative. C’est une erreur. Les déclarations engagent l’assuré et en cas de sinistre l’assureur peut faire valoir que sur la base des réponses au questionnaire il s’est fait une idée inexacte de la nature du risque qu’il prenait en charge. Dans les cas extrêmes cela peut signifier la déchéance de la garantie, plus probablement cela signifie des sanctions financières sévères au détriment du client.
Cette situation ne satisfait personne. Il se dessine une tendance que nous ne pouvons qu’encourager qui consiste à inverser le processus. Avec l’aide des courtiers, l’assuré communique à l’assureur un nombre relativement important de données objectives relatives aux systèmes d’information, aux processus internes, aux incidents passés et à la manière dont ils ont été gérés etc.. Ainsi l’assureur étant celui qui comprend le mieux la finalité du questionnaire est en mesure de le remplir lui-même, l’assuré n’étant ainsi plus exposé à d’éventuelles sanctions hormis le cas ou il aurait sciemment donné de fausses informations.
Les solutions aux risques cyber restent aussi disparates et évolutives que les risques cyber eux-mêmes, mais il n’est plus possible de les ignorer. Tout renouvellement de dispositif assurances qui n’intégrerait pas la dimension cyber serait incomplet.
Aucun commentaire