Cyber-assurance pour cyber-risque

Le cyber-risque est une notion qui s’élargit : après les «tous risques informatiques», puis la garantie «virus», aujourd’hui les "cyber-risques". Les besoins en couverture assurance évoluent avec les risques. Entretien avec Yves Fournier, directeur adjoint du département "grandes entreprises et international" chez Verspieren.

Yves Fournier.
Yves Fournier.

 

Verspieren

Yves Fournier.

 


 

La Gazette. Qu’entend-t-on par cyber-risque ?

Yves Fournier. Le cyber-risque, c’est toute atteinte aux systèmes d’information d’une entreprise, qu’elle soit d’origine malveillante ou accidentelle. Aujourd’hui, la tendance serait de l’assimiler à la cyber-criminalité. Il n’est pas que cela : c’est, d’une façon globale, l’atteinte aux données et les conséquences qui en découlent. 

 

Ces risques ont-ils beaucoup évolué ?

Il y a 20 ans, les polices “tous risques informatiques” couvraient les dommages matériels et aux médias, et les pertes financières consécutives. Au fil des années s’est imposée en complément la notion de dommages immatériels avec, à la fin des années quatre-vingt-dix, l’arrivée des garanties contre les virus. Puis, progressivement est apparue une réelle prise de conscience de l’importance stratégique, pour les entreprises, des applicatifs et des données, de leur exposition à des pertes ou altérations accidentelles (négligence, panne ou phénomène d’ordre technique…), mais également la notion de malveillance informatique. Les couvertures d’assurance ont alors couvert les dommages directs, mais également et surtout les pertes financières consécutives (frais supplémentaires d’exploitation, pertes d’exploitation).

Les attaques informatiques se développent, s’organisent et menacent de façon croissante les entreprises. Il peut s’agir de sabotage, de fraude, d’extorsion, de divulgation ou d’utilisation de données personnelles et/ou confidentielles à des fins malveillantes et/ou lucratives. Le cloud computing, qui présente une nouvelle architecture du système d’information et en particulier des données, apparaît naturellement comme une cible particulièrement exposée à ces attaques.

Ce contexte fait émerger de nouvelles notions en matière de cyber-risque : la responsabilité civile à l’égard des données personnelles ou confidentielles confiées (atteinte à la vie privée, au droit à l’image, au droit de la propriété intellectuelle…) et les obligations réglementaires de notification issues des évolutions législatives récentes et à venir, et consécutives à une violation de données.

Cette nouvelle donne devrait convaincre les entreprises de la nécessité de se protéger et d’être en mesure d’effectuer un travail de recherche et d’analyse en cas de violation de données. Elle les obligera également à développer un plan de gestion de crise.

Les secteurs d’activité a priori les plus exposés sont la distribution (en particulier le e-commerce), les institutions financières (banques, assurances…), la santé et les prestataires de services (tourisme, hôtellerie…).

Les conséquences financières de la violation des données sont loin d’être négligeables. En matière de notification et de gestion des crises, le coût global pour l’entreprise peut représenter de 50 à 120 € par  enregistrement compromis. Pour une base de données de plusieurs centaines de milliers d’enregistrements, des dizaines de millions d’euros peuvent être atteints. Le piratage informatique de Sony en 2011 a touché les données personnelles de plus de 100 000 utilisateurs de ses services interactifs ; et l’intrusion dans les bases de données d’Orange le 16 janvier 2014, celles de quelque 800 000 de ses clients, et même de 1,3 million pour l’attaque détectée le 18 avril. 

 

Quand s’imposera l’obligation de notification ?

Les nouvelles dispositions réglementaires relatives aux obligations de notification ne sont applicables à ce jour qu’aux seuls services de communication ouverts au public (fournisseurs d’accès internet par exemple). Mais elles seront étendues à d’autres populations qui, pour ne pas être encore connues, seront probablement les activités évoquées ci-dessus. A ce jour, aucune date n’est actée, mais ce sera certainement en 2014 ou 2015. Toutes les entreprises qui détiennent des données personnelles sur leurs clients seront à terme concernées, de la PME à celles du CAC 40, avec un impact souvent proportionnel au volume de clients, et par conséquent à la taille de l’entreprise.

 

Comment y préparez-vous vos clients ?

Nous leur passons le message qu’il est temps de prendre conscience de leur exposition aux cyber-risques. Celle-ci dépend de leur organisation informatique, tant des infrastructures que de la gestion de la sécurité. Une démarche de prévention s’impose ainsi que l’élaboration de plan de gestion de crise (recherche, analyse et parade). Nous sommes engagés dans une vraie démarche d’accompagnement. Sur base d’une analyse de vulnérabilité ou de test d’intrusion, nous évaluons les risques et proposons des solutions d’assurance adaptées.

De nombreuses offres d’assureurs sont maintenant présentes sur le marché (AIG, Zurich, ACE, Beazley, Axacs, XL Insurance…), mais présentent des différences notables. Notre valeur ajoutée est également, au-delà du fait de les challenger pour obtenir de meilleures garanties au meilleur prix, de sélectionner la meilleure offre en veillant à son adéquation avec le profil particulier de chacun de nos clients.

 

Que représente le cyber-risque pour Verspieren ?

Il nous paraît essentiel de sensibiliser nos clients sur la nécessité d’adopter des garanties de responsabilité civile car souvent ces risques de cyber-criminalité, et notamment à l’égard des données confiées par leurs propres clients, ne sont pas garantis dans les contrats de responsabilité civile générale.

Les nouvelles couvertures d’assurance représentent un produit de niche qu’il y a matière à développer. Si notre clientèle est déjà bien pourvue en produits d’assurance classiques, en ce qui concerne ces  nouvelles garanties, tout est à faire. Nous essayons d’anticiper pour être prêts, pertinents et réactifs quand les obligations réglementaires deviendront effectives.