Doit-on se méfier des assurances Cyber
Aujourd’hui nous entrons dans un contexte où la menace informatique devient un mal de notre quotidien.
En particulier les rançongiciels. De ce fait la cybersécurité se présente alors comme étant une nécessité. À côté d’elle, il y a les assurances cyber qui sont en plein développement. Pourtant, plusieurs questionnements se soulèvent. Ces assurances cyber valent-elle la peine ?
Cet article va aussi vous intéresser : Promutuel et la cybersécurité : une question d’assurance
Il n’est pas rare que les autorités dans certains États poussent souvent les organisations à s’assurer contre les attaques informatiques, cependant en 2017, une situation va mettre en doute, la crédibilité de cette assurance cyber. L’année en question une entreprise spécialisée dans l’agroalimentaire connue du secteur victime d’une attaque informatique de type rançongiciels, précisément le célèbre NotPetya. Plus de 22 000 postes de travail de l’entreprise et 1 700 serveurs ont été touchés durablement. L’entreprise se tourne alors vers sa maison d’assurance, le Zurich American Insurance Company, pour toucher une indemnisation qui aurait pu atteindre les 100 millions de dollars.
En s’appuyant sur déclaration émanant du gouvernement américain, l’entreprise d’assurance a trouvé un prétexte pour ne pas l’indemniser. La raison évoquée par l’assurance à cette époque aurait été le fait que le gouvernement américain avait déclaré que la cyberattaque NotPetya était une déclaration de guerre, alors que cette circonstance n’entrait pas dans les cas couverts par la police selon l’entreprise. La société de l’agroalimentaire n’a eu d’autre choix que de recourir à la justice contre son assureur. L’affaire est toujours en cours, mais la situation est de nature à interpeller sur le véritable fonctionnement des assurances cyber. Surtout à un moment où nous constatons que les entreprises sont toujours en proie face à des Ransomware.
Ce genre de cas malheureusement n’est pas isolé. En Grande-Bretagne par exemple, DLA Piper, les plus grands cabinet d’avocats est en conflit avec sa maison d’assurance pour poser une question d’indemnisation.
Face à cette situation, plusieurs leçons peuvent être retenues. La première et la plus importante est d’accorder une très grande considération et attention au contrat lors de la conclusion. Le second point va consister en l’interprétation de situations des cyberattaques.
En principe les assurances cyber sont prises « en complément de l’assurance Responsabilité civile, or il est difficile de voir où s’arrête l’assurance responsabilité civile et où commence l’assurance cyber. Les contrats restent remplis de chausse-trappes, il est primordial de bien lire son contrat et de toujours se placer dans la condition du pire : le RSSI et le service juridique doivent analyser ensemble le contrat dans le détail. », précise Aurélia Delfosse, une consultante chez Advens, une entreprise qui offre des prestations en matière de sécurité informatique.
Toutefois en France, il est clair que le litige qui oppose les assurances à leurs clients sont assez rares. C’est d’ailleurs ce qui est décrit par Matthieu Bennasar, Directeur des opérations chez Harmonie Technologie : « En se basant sur les chiffres de l’un des trois plus gros acteurs du marché français, j’estime qu’on est actuellement à moins d’une centaine de sinistres déclarés par an. C’est très faible et je n’ai pas eu à ma connaissance de litiges entre assurés et assureurs sur une attaque cyber ».
« L’assurance cyber s’inscrit dans une démarche plus globale de sécurité informatique et intervient pour couvrir le risque résiduel. Cela signifie notamment que certains préalables sont nécessaires et demandés pour couvrir une entreprise contre les menaces cyber. Si les premiers questionnaires de compagnies d’assurance étaient extrêmement détaillés et complexes, ils ont été simplifiés. Parmi les prérequis à la souscription d’un contrat cyber on trouve l’existence de sauvegardes hebdomadaires externalisées des données de l’entreprise, une évaluation du nombre et la nature des données sensibles collectées et détenues par l’entreprise – données personnelles, médicales, bancaires… –, la limitation des privilèges administrateurs et enfin l’utilisation et la mise à jour sur l’ensemble des dispositifs informatiques, des serveurs et réseaux de l’entreprise de logiciels anti-virus, anti-malware… En d’autres termes, il est désormais assez simple pour une entreprise de répondre à ces prérequis. » souligne de son côté Marie Waltisperger, la fondatrice de cyberpro’assur
Matthieu Bennasar, Directeur des opérations chez Harmonie Technologie déclare : « L’assurance est un bon moyen de transférer le risque à un assureur, notamment pour une PME, mais cette assurance ne doit pas non plus anesthésier l’entreprise vis-à-vis de la cybersécurité. Après la phase de diagnostic flash et la signature du contrat, l’assureur doit accompagner l’entreprise dans l’amélioration de son niveau de sécurité, dans une logique de prévention. Outre sa police d’assurance, l’assureur va apporter des services afin d’augmenter le niveau de maturité de son client et donc diminuer le niveau de risque. Avec certains de nos partenaires assureurs, nous fournissons un accès à la plate-forme Risk&Me sur laquelle les collaborateurs vont être sensibilisés aux enjeux de la cybersécurité, vont tester leur maturité vis-à-vis du RGPD et de la cybersécurité, etc. ».
Accédez maintenant à un nombre illimité de mot de passe :