[DOSSIER] Spécial entreprises : Gouverner les risques 4/12

Risque cyber, l'assurance devient prestation de services

Risque cyber, l'assurance devient prestation de services
sylvie humbert Légende photo duo ouverture : Astrid-Marie Pirson, directrice technique souscription chez Hiscox France et Alexis Nardone, associé, directeur international des spécialités du groupe d’expertise GM Consultant.

Face à l’exponentialité des attaques cyber, les assureurs et les experts sont jaugés et appréciés à l’aune de leur faculté à fournir les solutions et services adéquats avant, pendant et après-sinistre. Fini la seule réponse indemnitaire en cas d’incident. Bienvenue, en revanche, à la mobilisation d’une cellule d’experts. Accompagnement, tarifs, conseils pratiques, retour d’expérience : Astrid-Marie Pirson, directrice technique souscription de Hiscox France et Alexis Nardone, associé, directeur international des spécialités de GM Consultant, livrent leur vision complémentaire d’une menace qui transforme le rôle de l’assurance.

Cyber, l’assurance pas comme les autres

Ce qu’en pense l’assureur, Astrid-Marie Pirson : « Toutes les secondes, des dizaines de milliers d’attaques cyber ébranlent les systèmes d’information des entreprises. Nous adoptons une approche de spécialiste dans l’esprit “une activité, un risque, un produit”, car on n’équipe pas de la même manière une société informatique ou une agence de voyages. Nous avons aussi une posture nationale. Le comité de direction de Hiscox France est implanté localement et aborde ce risque en qualité d’assureur français travaillant sur des problématiques hexagonales ! Notre rôle va au-delà de la couverture assurantielle indemnitaire traditionnelle. Nous devenons à la fois SSII, agence de sécurité et de communication, avocat et consultant. Il nous faut donc, dans un délai très court, mobiliser une cellule de prestataires. Le cyber renforce, d’ailleurs, notre partenariat avec les experts grands risques, car nous intervenons dans des situations où l’incident n’est pas fini... telle une rançon à payer dans les deux heures. L’échelle temps n’est plus la même. »

Ce qu’en dit l’expert, Alexis Nardone : « Nous avons ouvert 250 dossiers cyber en 2017. C’est trois fois plus que l’année précédente. Le manque d’historique sur ce risque nous amène à participer avec le souscripteur, en amont, à la création du produit d’assurance. Cela permet à l’assureur d’affiner la pédagogie à adopter vis-à-vis du client ainsi que les services à lui offrir. Une équipe de cinq personnes est dédiée aux risques cyber, gérant les appels d’assurés ayant une suspicion jusqu’à l’accompagnement tout au long de l’incident, en plus de l’expertise traditionnelle. »

Le rôle du courtier

A.-M. P. : « Nous travaillons avec environ 200 courtiers partenaires actifs dans une approche de spécialiste. Ils recherchent de la réactivité, de la qualité de services et de la matière à fournir à leurs clients. Ils ont besoin que nous les aidions à pousser l’offre comme, par exemple, expliquer à un sous-traitant que l’assurance cyber lui sera aussi utile vis-à-vis de ses partenaires business que la RC Pro ou qu’une norme ISO, car les fournisseurs veulent sécuriser toute leur chaîne. »

A. N. : « Nous allons depuis quatre ans à la rencontre des entreprises invitées par leur courtier ou agent à raison d’une cinquantaine d’ateliers par an. Nous adoptons le discours par la preuve, contrecarrant leurs croyances telles que “je ne crains rien, mes données sont stockées dans le cloud”. Les courtiers doivent se rapprocher des DSI. Depuis les attaques, ils sont davantage écoutés. Ils n’achètent pas directement l’assurance, mais elle n’est jamais vendue sans leur aval... »

L’attaque cyber anéantit une entreprise par son intensité, et surtout par son risque de fréquence.

Alexis Nardone, associé, directeur international des spécialités du groupe d’expertise GM Consultant

Le coût d’une couverture cyber

A.-M. P. : « Nous appliquons un taux en fonction du CA, de l’implantation géographique et du nombre comme de la nature des données de l’entreprise. Nous notons son SI en fonction d’un questionnaire ou d’un audit. Aujourd’hui, nous affinons les cotations, et le montant des franchises baisse. Il y a trois ans, elles étaient comprises entre 2 000 € et 5 000 €, soit, parfois, la même somme que la rançon demandée par le hacker ! Ensuite, les risk managers arbitrent. Nous observons que les grandes entreprises dotées de filiales à l’étranger viennent souvent à l’assurance par un audit qui photographie leurs failles techniques (mauvaises versions informatiques, outils nomades, hébergement des données...). Nos clients PME et ETI ont des demandes de capacité allant de 100 000 € à 10 M€ et s’acquittent de primes annuelles comprises entre 500 € et 200 000 €. Mais ils veulent surtout savoir “comment”, plutôt que “combien”. »

A. N. : « Avec la baisse des franchises des couvertures cyber, moins d’attaques passent sous les radars des assureurs et le volume traité augmente. Aujourd’hui, les assureurs sont facilement dix sur les gros programmes des sociétés du CAC 40, l’un prenant 20 M€, l’autre 50 M€... C’est un risque systémique et de fréquence ! L’entreprise, selon son modèle économique, peut préférer prendre le risque plutôt que d’investir plusieurs millions d’euros dans la refonte de ses logiciels. C’est un sujet qui nécessite un pilotage financier pragmatique. Et, soyons honnêtes, les PME ne sont aujourd’hui pas prêtes à débourser immédiatement 10 000 € d’audit pour optimiser leur prévention. Tout passe par la pédagogie. »

Nous devenons tout à la fois SSII, agence de sécurité et de communication, avocat et consultant.

Astrid-Marie Pirson, directrice technique souscription de Hiscox France

Quand le sinistre survient...

A.-M. P. : « C’est généralement le moment où les entreprises, victimes, souscrivent. »

A. N. : « Nous agissons comme une société d’assistance et aidons l’assureur à obtenir rapidement des remontées d’information. Chaque fois, ce type de sinistre est embêtant, pénible et compliqué pour les entreprises. Les anecdotes sont légion. Il nous est arrivé de ne pas retrouver le message du hacker avec les instructions pour payer la rançon faute de sauvegarde mise en place. Généralement, il faut cliquer sur un lien, c’est très déroutant, car le processus est tellement rodé qu’on a l’impression d’avoir affaire à un service client et non à un délinquant. Les firmes industrielles sont les plus touchées. Mais, récemment, un négociant en vin a aussi dû renvoyer tous ses camions faute de pouvoir effectuer informatiquement le chargement. Notre rôle est parfois inattendu. Sachant que les entreprises n’ont parfois d’autre choix que de payer la rançon, nous avons été amenés, pour un cabinet libéral en lancement d’activité qui ne pouvait acquitter les 3 000 € de caution demandée, à négocier une avance auprès de l’assureur ! Nous prenons régulièrement la main pour vérifier que notre client, après paiement, obtient le programme de déchiffrage. Et nous portons plainte, car il s’agit de grand banditisme et seul le recoupement d’informations permet à la gendarmerie d’agir. Mais les retours de fichiers sont encore rares. »

Le double effet du RGPD

A.-M. P. : « Le règlement général européen sur la protection des données personnelles (RGPD) a deux effets : la publicité, mettant le sujet au coeur des préoccupations des entreprises. Et il lève le tabou, une entreprise attaquée devant le communiquer. »

A. N. : « Jusqu’ici, l’actualité cyber était très anglo-saxonne et la PME française avait donc du mal à s’identifier aux soucis d’Uber... Le data protection officer créé par le RGPD aura un rôle à jouer de risk manager bis. Un futur interlocuteur clé pour le marché. »

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 15 novembre 2019

ÉDITION DU 15 novembre 2019 Je consulte

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Assurances Risques dommages aux biens et Risques Annexes.

Ville d'Epinay sous Sénart

17 novembre

91 - EPINAY SOUS SENART

Proposé par   Marchés Online

Commentaires

Risque cyber, l'assurance devient prestation de services

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié