Victime et coupable, le paradoxe de l’évolution de la cyber-assurance

La protection du patrimoine informationnel de l’entreprise revêt une dimension capitale : il apparaît plus que jamais primordial que les entreprises s'informent, s'organisent, pour dmieux réagir aux problématiques de cyber-Risque et de cyber-attaque.

Que nous voulions bien l’admettre ou pas, dès que nous nous connectons, que ce soit depuis notre domicile ou depuis notre lieu de travail, nous devenons vulnérables. En fait, en nous connectant à Internet, nous devenons membres d’une cyber-communauté. L’inter-connectivité qu’apporte Internet, les réseaux sociaux ou encore le Cloud, crée une proximité effrayante entre les utilisateurs. Un collègue peut se transformer en un hacker voulant réellement nuire à son entreprise, ou en un gamin voulant s’amuser.

La sécurité, placebo de la confiance ou différenciateur marketing…

Au cours des trente dernières années, l’industrie informatique a connu une brutale transition en passant des réseaux fermés de gros calculateurs aux réseaux ouverts, en passant par l’externalisation, l’infogérance, le Big Data et maintenant le Cloud. Et nul ne peut le nier ! La sécurité ne peut plus être associée uniquement à la confiance.
La stratégie de sécurité doit être alignée sur les objectifs et les orientations du cœur business de l’entreprise.
Les entreprises doivent démystifier les défis de sécurité auxquels elles doivent faire face afin de rétablir cette confiance et ne plus se poser en victime de cyber-attaques.
Dans le contexte de mondialisation actuelle, la compétition entre les entreprises est rude. La sécurité n’apparaît plus seulement comme un moyen de fournir un service, une protection ou comme un différenciateur marketing mais comme un moyen d’engendrer une défiance.

Cette défiance se traduit par une augmentation de la cyber-criminalité

En 2014, le CLUSIF [1] a dressé le panorama de la sécurité et mis en évidence une recrudescence des cyber-attaques. On y retrouve des attaques de types : waterholing, attaques destructives, incapacitantes et métiers.
Cette tendance se confirme d’année en année et si ces incidents relatifs à la sécurité sont issus pour la plupart d’attaques hostiles (4 % pour la France, 30 % pour les Etats-Unis, 11 % pour le Royaume-Uni) [2], elles ont un impact significatif sur la confiance des  différents acteurs (clients, actionnaires, fournisseurs…).
Bâtir une gouvernance de sécurité qui soit globale et cohérente est probablement l’une des tâches les plus complexes incombant aux R.S.S.I dans une entreprise. Or, une fois cette démarche établie, et une fois les risques identifiés [3](liés au système d’information interne, aux  collaborateurs, aux contrats avec des sous-traitants, à la chaîne d’approvisionnement, aux technologies de rupture, aux infrastructures et aux chocs externes), que peut-on faire pour couvrir les frais d’un désastre informatique dû à une quelconque cyber-attaque ?
Les cyber-risques gardent cette particularité immuable qui semble les rendre inassurables par les méthodes classiques du monde des assurances.
Depuis une dizaine d’années et grâce à des pionniers comme le courtier Marsh mais aussi des organismes comme le CLUSIF, le monde de l’assurance a su prendre la mesure du marché de la cyber-assurance [4], proposant une gamme de produits permettant d’assurer les biens immatériels des entreprises comme leur patrimoine informationnel, essence même de leur cœur business.
Si certains assureurs proposent aujourd’hui des contrats aux entreprises pour les garantir dans une certaine mesure contre les cyber-attaques, il n’en reste pas moins selon Jeff Moghrabi-ACE Group  que « le risque lié à la cyber-criminalité sera demain pour les assureurs, ce que sont les catastrophes naturelles aujourd’hui » un nouveau défi à relever.

Dans ces conditions comment mesurer ce risque et à qui imputer la faute ?

La mesure du cyber-risque et sa capacité à être pris en charge par les assureurs peut se découper en deux phases :
  • L’audit technique
Cette première phase doit permettre de mesurer le niveau de maturité sécuritaire du système d’information. Elle reste un axe binaire et doit être pondérée en fonction de certains paramètres afin de permettre au futur souscripteur d’éviter de passer d’un statut de potentielle victime à celui de coupable, à l’instar de la jurisprudence de l’affaire Sarenza [5] (extrait : « Le Tribunal ne retiendra finalement que la responsabilité des sociétés Vivaki pour faute d’imprudence. Le Tribunal prononcera une condamnation de 100 000 euros. Cette condamnation sera ramenée in fine à 70 000 euros, le Tribunal considérant que la Société Sarenza devait supporter à hauteur de 30 % son propre dommage du fait de l’insuffisance de sa gestion des identifiants d’accès à sa base. »)
  • La revue contractuelle.
Cette seconde phase doit permettre de garantir la chaîne des processus et des engagements contractuels alignés sur les enjeux des entreprises. D’ailleurs l’émergence du Cloud dans ce domaine a changé la donne dans la définition des responsabilités des parties notamment par le transfert de responsabilité sur le domaine de la sécurité (fournisseurs d’accès, hébergeur, infogérance, concepteur de site, etc…). Cette démultiplication des acteurs du Cloud a considérablement complexifiée cette revue.
Une fois ces deux phases réalisées, définissant le niveau de maturité sécuritaire de l’entreprise et son exposition, les choses se compliquent car il faut pouvoir établir un chiffrage afin de couvrir les préjudices que l’entreprise pourrait subir (pertes financières dues à l’interruption, dégradation de l’activité de l’entreprise ou encore la perte de confiance).
L’objectif est de déterminer la probabilité d’apparition des cyber-sinistres et de s’assurer que les responsabilités de chacun soient clairement identifiées afin d’établir l’imputabilité de la faute en cas d’incident de sécurité (ex : perte de données, perte de confidentialité, etc…)
D’ailleurs, ce travail trouve un écho favorable auprès de la commission européenne. Si l’on se réfère aux ambitions de ce projet de règlement européen sur les données à caractère personnel, il permettra de répondre  notamment à ces deux enjeux : technologique et juridique.
Ce texte devrait déboucher sur des éléments concrets en apportant une sécurité juridique accrue aux entreprises et aux personnes concernées.[6]
Ce projet devrait permettre ainsi aux acteurs de la cyber-assurance de mieux appréhender et de mieux qualifier ce nouveau segment.

Quel pari faire sur l’avenir de la cyber-assurance ?

Les quelques annonces de partenariat entre ESN, en tant qu’experts techniques, et Assureurs [7] préfigurent-elles du futur duo gagnant ?
Une question importante demeure pourtant en suspens : comment une entreprise qui travaille avec une E.S.N reconnue du marché de la sécurité, pour améliorer la sécurité de son S.I. et qui par ailleurs souscrit un contrat contre les cyber-risques avec une compagnie d’assurance ayant un partenariat avec cette même E.S.N pourra mettre en avant la crédibilité de cette E.S.N en cas de cyber-attaque engendrant un cyber-sinistre ?
Ne faudrait-il pas un acteur non-étatique qui puisse faire preuve d’objectivité à l’instar des agences de notations financières pour garantir l’expertise des sinistres ?

Autour du même sujet