[DOSSIER] Cyber assurance 2/3

Cyber risques : les assureurs se plient en quatre

Cyber risques : les assureurs se plient en quatre

WannaCry a mis en lumière le rôle, désormais pluriel, des acteurs de l’assurance en cas d’attaques cyber. En plus de couvrir les pertes, ils doivent offrir de l’ingénierie de prévention, de l’expertise informatique et gérer la crise.

Panique sur les écrans. Ce samedi 13 mai 2017, une infection électronique, d’une ampleur exceptionnelle, se propage aux quatre coins du globe. WannaCry, un « rançongiciel » qui s’appuie sur une faille de sécurité de Microsoft Windows, crypte les données et réclame une rançon de 300$ à leur propriétaire.

Plus de 300 000 ordinateurs sont contaminés dans 150 pays différents en l’espace de 24 heures. En Angleterre, le système national de santé (NHS) est en partie para­lysé, avec 400 hôpitaux et cliniques infectés. En Russie, le virus est arrivé à la banque centrale. En France, Renault est contraint d’arrêter sa production sur le site de Douai, une des plus importantes usines du groupe (1 000 véhicules produits par jour). La fameuse attaque systémique, tant redoutée par les assureurs, vient d’arriver.

Grosse frayeur, faible sinistralité

Et pourtant, quatre mois plus tard, le bilan des dégâts est minime. « WannaCry a été un des premiers événements d’une telle ampleur systémique. Mais les conséquences n’ont pas été très importantes en terme de sinistralité », affirme Timothée Crespe, expert cyber chez le courtier Aon France. « Notre travail sur Wanna­Cry a d’abord consisté en de la gestion de crise pendant le week-end. Il a fallu apporter des solutions aux entreprises qui avaient une partie de leur système bloquée », explique Luc Vignancour, cyber practice leader pour le courtier Marsh France. Chez les assureurs, comme Chubb, compa­gnie leader avec l’Américain AIG sur le marché du cyber, on tire le même constat. « Notre portefeuille a été très peu touché », déclare Xavier Leproux, responsable de la souscription des cyber risques en France.

Au-delà du bruit médiatique qu’elles ont provoqué, les grandes cyberattaques survenues en 2017 ont surtout été révélatrices des véritables besoins des entreprises face à ce type de me­na­ce : du conseil et de l’accom­pa­gnement. Une demande que courtiers et assureurs ont bien intégrée.

De l’assurance au servicing

« Au-delà de la dimension assurance, il y a un aspect servicing qui est clé. Il s’agit d’un axe de stratégie fondamental », affirme Christophe Zaniewski, directeur général France d’AIG. « La nouveau­té dans les produits cyber c’est clairement le volet assistance. Les contrats cyber se sont vraiment construits autour de cette problématique », confirme Timothée Crespe. L’approche est particulièrement développée pour les PME et les ETI qui ne disposent pas des mêmes ressources que les grands comptes. « Les entreprises du middle market n’ont pas les moyens d’avoir toutes les fonctions nécessaires pour pouvoir réagir à une attaque », précise Christophe Zaniewski. Des manques que les acteurs de l’assu­rance s’efforcent de pallier.

Un travail qui commence par un effort de prévention au sein des entreprises. L’importance de la prévention a d’ailleurs été l’un des principaux enseignements de WannaCry. Deux mois avant l’attaque, Microsoft avait publié un patch pour corriger la faille exploitée par le « rançongiciel ». Les entreprises touchées le 13 mai n’avaient, donc, soit pas mis à jour leur système, soit avaient conservé des versions dépassées de Windows.

« Les récentes attaques ont bien fait ressortir qu’au-delà des extorsions, il y a des mesures préventives à prendre dans les entreprises », explique Timothée Crespe d’Aon. Chez le courtier Gras Savoye, Laure Zicry, responsable technique cyber risk, vante un outil qui permet aux entreprises du type PME et ETI de connaître précisément leur exposition aux risques au même titre que les grands comptes. « Nous avons mis au point un outil de cartographie des risques qui permet d’identifier les scénarios majeurs en terme d’impact et de fréquence. Nous proposons aussi de réaliser une enquête qui mesure le niveau de sensibilité des salariés aux enjeux de protection des données. Cela permet aux directions générales d’avoir une lecture fine du niveau de sensibilisation et de prendre ainsi les mesures nécessaires pour cibler et adapter la communication et la formation et plus largement mettre en place des mesures qui ont un impact sur l’engagement des salariés », explique Laure Zicry.

Gestionnaire de crise

Pour la gestion de crise, les assureurs proposent un éventail de services qui vont de la communication au juridique en passant, bien évidemment, par le dépannage purement technique. L’assu­reur Chubb a ainsi mis en place une data breach team.

« En cas d’attaque ou d’une fuite de donnée avérée ou supposée, l’assuré dispose d’un numéro d’urgence. Un coach le prend en charge dans l’heure qui suit et voit en fonction de la situation s’il est nécessaire de dépêcher, sur place, des experts », explique Xavier Leproux. Pour ce faire, l’assureur, qui se dit en mesure d’allouer des capacités de 100 M€ en ­domma­ges et 25 M€ en RC, a noué des partenariats avec des entreprises spécialisées. « Pour le coaching nous nous appuyons sur le groupe d’expertise français Texa. En cas d’attaque avérée, nous faisons appel aux services de Lexsi, une société spécialisée en cyber sécurité rachetée par Orange, qui est en mesure d’identifier les vulnérabilités des systèmes et de faire les patchs nécessaires. Un cabinet d’avocats est à disposition pour toute question juridique. Nous avons enfin un partenariat avec le groupe Acticall qui est spécialisé dans la relation client », détaille Xavier Leproux.

Le courtier Aon fait, pour sa part, le pari de faire du service en cyber sécurité un marqueur de différenciation. Le groupe mondial a, en effet, réalisé l’acqui­sition en 2016 de la société de conseil new-yorkaise Stroz ­Friedberg. Cette entreprise spécialisée en sécurité informatique est en mesu­re de réaliser des tests d’intru­sion ainsi que des traitements de réclamations pour les comptes des clients du courtier. « Il s’agit d’une société spécialisée dans la cyber sécurité qui est capa­ble d’intervenir en cas de sinis­tre. Mais qui nous permet également de proposer des solutions d’accompagnement à nos clients, notamment pour sécuriser des opérations telles que l’échange de données entre plusieurs pays », préci­se Timothée Crespe. Alors que la demande en couverture cyber connaît une forte croissance en France depuis le début de l’année, notamment accentuée par la médiatisation d’attaques de grande ampleur et à l’aune de l’entrée en vigueur du règlement général sur la protection des données personnelles, chacun affute ses armes pour gagner les meilleures parts du gâteau.

Emploi

Groupama

CHARGE(E) DE DÉVELOPPEMENT COMMERCIAL

Postuler

Groupama

CHARGE(E) DE DÉVELOPPEMENT COMMERCIAL

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

Cyber risques : les assureurs se plient en quatre

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié