[DOSSIER] Spécial entreprises : Gouverner les risques 4/12

Risque cyber, l'assurance devient prestation de services

Risque cyber, l'assurance devient prestation de services
Légende photo duo ouverture : Astrid-Marie Pirson, directrice technique souscription chez Hiscox France et Alexis Nardone, associé, directeur international des spécialités du groupe d’expertise GM Consultant. © sylvie humbert

Face à l’exponentialité des attaques cyber, les assureurs et les experts sont jaugés et appréciés à l’aune de leur faculté à fournir les solutions et services adéquats avant, pendant et après-sinistre. Fini la seule réponse indemnitaire en cas d’incident. Bienvenue, en revanche, à la mobilisation d’une cellule d’experts. Accompagnement, tarifs, conseils pratiques, retour d’expérience : Astrid-Marie Pirson, directrice technique souscription de Hiscox France et Alexis Nardone, associé, directeur international des spécialités de GM Consultant, livrent leur vision complémentaire d’une menace qui transforme le rôle de l’assurance.

Cyber, l’assurance pas comme les autres

Ce qu’en pense l’assureur, Astrid-Marie Pirson : « Toutes les secondes, des dizaines de milliers d’attaques cyber ébranlent les systèmes d’information des entreprises. Nous adoptons une approche de spécialiste dans l’esprit “une activité, un risque, un produit”, car on n’équipe pas de la même manière une société informatique ou une agence de voyages. Nous avons aussi une posture nationale. Le comité de direction de Hiscox France est implanté localement et aborde ce risque en qualité d’assureur français travaillant sur des problématiques hexagonales ! Notre rôle va au-delà de la couverture assurantielle indemnitaire traditionnelle. Nous devenons à la fois SSII, agence de sécurité et de communication, avocat et consultant. Il nous faut donc, dans un délai très court, mobiliser une cellule de prestataires. Le cyber renforce, d’ailleurs, notre partenariat avec les experts grands risques, car nous intervenons dans des situations où l’incident n’est pas fini... telle une rançon à payer dans les deux heures. L’échelle temps n’est plus la même. »

Ce qu’en dit l’expert, Alexis Nardone : « Nous avons ouvert 250 dossiers cyber en 2017. C’est trois fois plus que l’année précédente. Le manque d’historique sur ce risque nous amène à participer avec le souscripteur, en amont, à la création du produit d’assurance. Cela permet à l’assureur d’affiner la pédagogie à adopter vis-à-vis du client ainsi que les services à lui offrir. Une équipe de cinq personnes est dédiée aux risques cyber, gérant les appels d’assurés ayant une suspicion jusqu’à l’accompagnement tout au long de l’incident, en plus de l’expertise traditionnelle. »

Le rôle du courtier

A.-M. P. : « Nous travaillons avec environ 200 courtiers partenaires actifs dans une approche de spécialiste. Ils recherchent de la réactivité, de la qualité de services et de la matière à fournir à leurs clients. Ils ont besoin que nous les aidions à pousser l’offre comme, par exemple, expliquer à un sous-traitant que l’assurance cyber lui sera aussi utile vis-à-vis de ses partenaires business que la RC Pro ou qu’une norme ISO, car les fournisseurs veulent sécuriser toute leur chaîne. »

A. N. : « Nous allons depuis quatre ans à la rencontre des entreprises invitées par leur courtier ou agent à raison d’une cinquantaine d’ateliers par an. Nous adoptons le discours par la preuve, contrecarrant leurs croyances telles que “je ne crains rien, mes données sont stockées dans le cloud”. Les courtiers doivent se rapprocher des DSI. Depuis les attaques, ils sont davantage écoutés. Ils n’achètent pas directement l’assurance, mais elle n’est jamais vendue sans leur aval... »

L’attaque cyber anéantit une entreprise par son intensité, et surtout par son risque de fréquence.

Alexis Nardone, associé, directeur international des spécialités du groupe d’expertise GM Consultant

Le coût d’une couverture cyber

A.-M. P. : « Nous appliquons un taux en fonction du CA, de l’implantation géographique et du nombre comme de la nature des données de l’entreprise. Nous notons son SI en fonction d’un questionnaire ou d’un audit. Aujourd’hui, nous affinons les cotations, et le montant des franchises baisse. Il y a trois ans, elles étaient comprises entre 2 000 € et 5 000 €, soit, parfois, la même somme que la rançon demandée par le hacker ! Ensuite, les risk managers arbitrent. Nous observons que les grandes entreprises dotées de filiales à l’étranger viennent souvent à l’assurance par un audit qui photographie leurs failles techniques (mauvaises versions informatiques, outils nomades, hébergement des données...). Nos clients PME et ETI ont des demandes de capacité allant de 100 000 € à 10 M€ et s’acquittent de primes annuelles comprises entre 500 € et 200 000 €. Mais ils veulent surtout savoir “comment”, plutôt que “combien”. »

A. N. : « Avec la baisse des franchises des couvertures cyber, moins d’attaques passent sous les radars des assureurs et le volume traité augmente. Aujourd’hui, les assureurs sont facilement dix sur les gros programmes des sociétés du CAC 40, l’un prenant 20 M€, l’autre 50 M€... C’est un risque systémique et de fréquence ! L’entreprise, selon son modèle économique, peut préférer prendre le risque plutôt que d’investir plusieurs millions d’euros dans la refonte de ses logiciels. C’est un sujet qui nécessite un pilotage financier pragmatique. Et, soyons honnêtes, les PME ne sont aujourd’hui pas prêtes à débourser immédiatement 10 000 € d’audit pour optimiser leur prévention. Tout passe par la pédagogie. »

Nous devenons tout à la fois SSII, agence de sécurité et de communication, avocat et consultant.

Astrid-Marie Pirson, directrice technique souscription de Hiscox France

Quand le sinistre survient...

A.-M. P. : « C’est généralement le moment où les entreprises, victimes, souscrivent. »

A. N. : « Nous agissons comme une société d’assistance et aidons l’assureur à obtenir rapidement des remontées d’information. Chaque fois, ce type de sinistre est embêtant, pénible et compliqué pour les entreprises. Les anecdotes sont légion. Il nous est arrivé de ne pas retrouver le message du hacker avec les instructions pour payer la rançon faute de sauvegarde mise en place. Généralement, il faut cliquer sur un lien, c’est très déroutant, car le processus est tellement rodé qu’on a l’impression d’avoir affaire à un service client et non à un délinquant. Les firmes industrielles sont les plus touchées. Mais, récemment, un négociant en vin a aussi dû renvoyer tous ses camions faute de pouvoir effectuer informatiquement le chargement. Notre rôle est parfois inattendu. Sachant que les entreprises n’ont parfois d’autre choix que de payer la rançon, nous avons été amenés, pour un cabinet libéral en lancement d’activité qui ne pouvait acquitter les 3 000 € de caution demandée, à négocier une avance auprès de l’assureur ! Nous prenons régulièrement la main pour vérifier que notre client, après paiement, obtient le programme de déchiffrage. Et nous portons plainte, car il s’agit de grand banditisme et seul le recoupement d’informations permet à la gendarmerie d’agir. Mais les retours de fichiers sont encore rares. »

Le double effet du RGPD

A.-M. P. : « Le règlement général européen sur la protection des données personnelles (RGPD) a deux effets : la publicité, mettant le sujet au coeur des préoccupations des entreprises. Et il lève le tabou, une entreprise attaquée devant le communiquer. »

A. N. : « Jusqu’ici, l’actualité cyber était très anglo-saxonne et la PME française avait donc du mal à s’identifier aux soucis d’Uber... Le data protection officer créé par le RGPD aura un rôle à jouer de risk manager bis. Un futur interlocuteur clé pour le marché. »

Le Magazine

ÉDITION DU 29 mai 2020

ÉDITION DU 29 mai 2020 Je consulte

Emploi

SAS COHEN CORPORATE ASSURANCES

Commerciaux Sédentaires H/F

Postuler

Marche de Bretagne

Mandataires Indépendants H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Fourniture et livraison de cartes mifare personnalisees.

Ville de Courbevoie

30 mai

92 - COURBEVOIE

Assurances responsabilité civile et risques annexes pour les besoins du S.D.I.S de ...

SDIS de Seine et Marne Sce Départ. d'Incendie et de Secours

30 mai

77 - SDIS 77

Assurance des agents relevant de la CNRACL et de l'ircantec.

Ville d'Orvanne

30 mai

77 - MORET SUR LOING

Proposé par   Marchés Online

Commentaires

Risque cyber, l'assurance devient prestation de services

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié