La couverture des éditeurs face aux cyber-risques revêt une importance capitale à l’heure où ces derniers proposent des services de plus en plus étendus et connectés. Le préjudice causé par une attaque ou un défaut de sécurité est bel et bien réel. Mais il peut être pris à la charge d’un assureur spécialisé via une cyberassurance.
Les cyber-assurances constituent un pan majeur de l’arsenal dont dispose un éditeur. Cela lui permet de se protéger et circonvenir un éventuel risque relatif à sa cybersécurité. Une véritable famille d’outils au service des professionnels leur permettant d’externaliser un ensemble de risques d’un genre particulier : le cyber-risque. Son fonctionnement demeure classique et son utilité est avérée. La cyber-assurance fonctionne sur le terrain de la sécurité informatique et des risques que ce volet comporte. Un assureur propose de prendre en charge tout ou partie d’un préjudice consécutif à un sinistre informatique couvert par la police.
Selon des chiffres rapportés par l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), « la maturité du marché demeure encore lointaine ». Une situation appelée toutefois à changer dans la mesure où d’autres continents abordent désormais pleinement la cyber-assurance dans leurs besoins. Aux Etats-Unis, ces outils de Risk Management sont en effet déjà très développés. Ils sont même souvent automatiquement inclus au sein des relations contractuelles. En Europe, une partie du marché reste à conquérir mais le secteur connaît un fort développement.
En Europe comme aux Etats-Unis, la grande majorité des grands comptes ou entreprises du CAC 40 sont désormais couvertes (environ 90% du pool) face aux cybermenaces. Toutefois, ce taux de couverture en cyberassurance chute drastiquement en ce qui concerne les sociétés de moindre taille. Qu’il s’agisse en effet d’ETI, de PME ou de start-ups, ces entités demeurent encore dépourvues face à l’éventualité d’un piratage, d’une perte de donnée ou d’une intrusion critique. Pour autant, un véritable rattrapage est en cours depuis plusieurs trimestres. Consécutivement au nombre en hausse de rapports d’attaques, le besoin de s’assurer devient davantage prégnant. Un mouvement majeur et une dynamique forte sont donc à l’œuvre.
Cyberassurance : un accompagnement nécessaire en cas de cyber-attaque
Dans cette optique de développement de la cyber-assurance, les courtiers occupent un rôle de premier plan dans le choix de la meilleure police et dans l’accompagnement en cas de cyberattaque. Ces professionnels permettent aux éditeurs d’être accompagnés en matière de gestion des risques. En outre, les équipes financières et les RSSI peuvent êtreassistésafin de définir correctement les différents scénarios de risques tout en vérifiant la pertinence des réponses apportées par les assureurs.
Christophe Gautié, dirigeant et fondateur du cabinet Apollo explique : « Lorsqu’un hacking survient, un éditeur peut subir un dommage financier important du fait d’une cyber-attaque. A date, on constate en moyenne pas moins de 3 déclarations par mois d’entreprises qui sont victimes de tels méfaits. Face à ce problème, ces sociétés ont besoin de juristes, de cellules techniques et de conseils pour identifier l’ampleur du sinistre, apporter les réponses idoines et remplir les bons documents de déclaration auprès de la Cnil ».
Cyberassurance : des points majeurs à considérer
Traditionnellement, les cyber-assurances recoupent quatre volets majeurs. Les contrats dédiés couvrent généralement les coûts directs liés à une perte ou d’un arrêt d’activité du professionnel (voire une perte de marge). A ceci s’ajoute une responsabilité civile très spécifique laquelle doit prendre en charge les éventuels dommages causés aux tiers (ainsi bien les collaborateurs que les clients). Ce volet est particulièrement important dans le cadre d’atteinte aux données personnelles.
Troisième aspect majeur de toute cyber-assurance, l’assistance permet aux entreprises de se remettre en route suite à la survenance d’un sinistre. A cela s’ajoute l’importance de faire preuve de pédagogie et de prévention afin d’éviter qu’un sinistre n’intervienne et de diminuer la probabilité qu’un piratage ne soit dirigé contre l’éditeur.
Toujours est-il que le corpus commun à un contrat de cyber-assurance suppose que plusieurs typologies d’acteurs collaborent ensemble à la protection des actifs de l’entreprise. Qu’il s’agisse présentement du courtier, du DSI, de la DAF ou du gestionnaire des risques, chacun se doit de collaborer à la diminution des menaces dans les grands groupes. Dans les structures plus réduites, ce sont les directions financières sinon les équipes en charge de la sécurité qui doivent travailler de concert.
De nouvelles obligations pour les éditeurs
Récemment, de nouvelles réglementations tel que le RGPD ont permis d’encadrer la responsabilité des éditeurs en cas de fuite de données. L’article 28 du règlement permet en effet à un éditeur d’être co-responsable en cas de problème en tant que sous-traitant de l’entreprise cliente.
« Nous constatons une recrudescence des cyberattaques dans la mesure où les éditeurs de logiciels sont à présents attaqués comme les autres. Les éditeurs et les plateformes sont vulnérables aux attaques par rebonds, par exemple. Elles permettent aux pirates d’aller chercher des informations sur leurs cibles chez les éditeurs prestataires. Se comporter comme des bons professionnels ne suffit désormais plus. Les éditeurs doivent évaluer ce qui peut constituer une cible », précise Christophe Gautié.
C’est dans le cadre de l’évolution de ces nouvelles tendances que s’inscrit résolument le cyber-assureur. Ce dernier va ainsi pouvoir indemniser les tiers et prendre en charge les éventuels frais chez les éditeurs. L’intérêt est donc bel et bien effectif pour les éditeurs. La cyberassurance possède ainsi l’intérêt majeur d’intervenir même en cas d’absence de faute avérée de l’éditeur (à la différence de l’assurance professionnelle classique).
Autre point d’importance, les éditeurs commencent à être sensibilisés au fait que leurs actifs peuvent représenter des cibles. Les attaques par rebond représentent à ce titre une entité à part entière de cyber-offensives dans les mains de pirates. Elles consistent en une attaque d’un ou plusieurs systèmes d’informations intermédiaires. La personne malveillante tentera de récupérer les informations sur sa cible finale.
De parfaites cibles d’attaques
Les éditeurs de logiciels sont des cibles parfaites de ces attaques par rebond. Bien qu’elles visent les clients finaux, elles doivent être prises en compte par ces acteurs. Face à l’accroissement de ces offensives, les entreprises doivent aller au-delà de la simple protection de leur système d’information pour embrasser l’ensemble de leur écosystème.
Consciente du danger que ces attaques représentent, l’ANSSI les décrit en ce sens : « En ciblant un ou plusieurs intermédiaires, les pirates parviennent à contourner les mesures de sécurité des organisations. La compromission d’un seul intermédiaire suffit parfois à accéder à plusieurs organisations ». Vincent Riou, Directeur cybersécurité CEIS précise : « L’enjeu est permanent. Les éditeurs doivent comprendre que l’ensemble de la supply-chain est concernée par ces attaques ».
La cyberassurance possède ainsi l’avantage de prendre en charge des frais d’expertise en sécurité informatique, des honoraires d’avocats. Mais également les frais de communication de crise, d’éventuels frais de récupération de données ou de monitoring dans la durée.
L’importance des audits et de la gestion des risques
Face à ce risque perpétuel lié au management de la cybersécurité, la pédagogie et l’accompagnement sont clés. Un constat compris par une partie des entreprises mais également par certaines organisations professionnelles. Dans ce cadre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un document de travail proposant de mettre la prévention des menaces au service de la croissance de l’entreprise.
Un objectif permanent qui permet de dresser une véritable cartographie des impacts de chaque développement opéré par un professionnel. Une méthodologie opérée par les « risk managers » permettant de constituer une cartographie des scénarios les plus susceptibles de survenir. Cela permet également d’évaluer leurs conséquences financières ou en termes de réputation.
Conduire des réflexions de fond
Christophe Gautié, dirigeant et fondateur du cabinet Apollo explique : « Trop souvent, une partie des professionnels ne sont pas franchement préparés. Ils ne disposent pas de plan d’action à jour au cas où une cyber-attaque survienne. Lorsque cela arrive, ils ont toutefois besoin d’assistance et de prestataires qualifiés. Bien souvent, les clients ne reprochent pas aux éditeurs d’avoir été victimes d’une cyber-attaque. Mais de ne pas avoir prévu de mesures adéquates de recovery et d’avoir tout prévu quant à sa capacité de réactivité et disponibilité. Ils souhaitent avoir un partenaire réactif lequel dispose d’ores et déjà d’un solide plan de recovery ».
Tout bon professionnel se doit donc de mener des réflexions de fond concernant ses contrats d’assurance. L’objectif est de déterminer s’il intègre des garanties cyber. Ou bien encore de refuser les déplafonnements de responsabilité contractuelle sur les données personnelles. L’idée étant de déterminer à quel niveau souhaite t’il assurer son propre risque de préjudices financiers.
Toujours est-il que le marché français, et plus généralement européen, doit donc être suffisamment mature face aux risques encourus. Un enjeu de taille pour les cyberassureurs. D’autant que le « coup » semble déjà parti. Les professionnels ont pris conscience de l’importance de se doter de telles mesures comme une cyberassurance.
Olivier Robillart