Cyber-risques: Protéger le bilan de l’entreprise (1/2)

Depuis 2013, les assureurs s’intéressent aux problématiques Cyber. Aujourd’hui, le marché français dispose d’une capacité théorique de plus de 500 millions d’euros et la gamme de services proposés est complète, du conseil à l’intermédiation classique (étude, placement et gestion des contrats). Les Cyber-risques constituent une menace pour les entreprises qu’un courtier jouant pleinement son rôle de conseil peut les aider à maîtriser.

Que recouvrent les garanties Cyber aujourd’hui ?

Tout d’abord, les demandes de cotation et les appels d’offres sont de plus en plus souvent spécifiquement centrés sur les Cyber-risques. Il ne s’agit plus de garanties noyées dans des d’appel d’offres classiques, multi-branches.

Les garanties Cyber couvrent trois volets distincts :

  • L’assistance lors de la survenance d’une attaque Cyber, avec la mise en place d’une gestion de crise. Une attaque Cyber peut concerner une atteinte aux systèmes d’information et/ou une atteinte aux données. Cette assistance intervient très rapidement lorsque l’attaque est découverte. Elle couvre principalement la restauration des données, mais aussi les frais d’enquête, la notification éventuelle aux clients, parfois rendue obligatoire par les autorités de contrôle, et la communication de crise.
  • La Responsabilité Civile couvre les préjudices subis par les tiers, les clients mais aussi les fournisseurs qui subiraient un dommage consécutif à l’attaque informatique de l’entreprise,
  • Les garanties de Dommages telles que les pertes d’exploitation et tous les frais additionnels, permettant de restaurer le système d’information.
S’appuyer sur une cartographie des risques permet d’identifier les systèmes d’informations critiques (défaillances et vulnérabilités).

Que faut-il mettre en oeuvre ?

Il existe plusieurs manières de procéder :

  • S’appuyer sur une cartographie des risques, qui va identifier les systèmes d’informations critiques (défaillances et vulnérabilités)
  • Proposer des solutions de remédiation technique
  • Y associer des services qui interviennent dans la quantification (évaluation financière) des risques identifiés dans la cartographie.

Tant la cartographie des risques que leurs évaluations financières permettent de déterminer les garanties et les limites spécifiques à souscrire. Ainsi, le marché peut être interrogé sur la base de  garanties correctement calibrées.

Willis Towers Watson a développé un outil qui agrège des millions de données dans le but d’apporter un conseil à ses clients dans la stratégie de gestion des risques : PRISM II (Privacy Risk & Insurance Strategy Model).

En cas d’incident, les équipes informatiques internes seront en première ligne dans la réaction et la gestion de l’incident.

Il est également possible d’auditer les polices existantes (Dommages aux biens, RC générale, RC Professionnelle, Fraude, …) pour vérifier s’il existe des doublons de garanties.

Les clients qui souscrivent associent de plus en plus en interne leur DSI ou RSSI dans leurs choix, soit directement dès l’appel d’offres ou au stade de l’étude des garanties, et de leur placement. En effet, en cas d’incident, les équipes informatiques internes seront en première ligne dans la réaction et la gestion de l’incident.

Une parfaite réactivité en cas d’attaque est crucial, les conséquences de cette dernière pouvant être fortement aggravées si la gestion de l’incident fait défaut. Le tandem Risk-Manager/RSSI doit fonctionner à plein. Ainsi, depuis les attaques qui ont suivi les attentats de Charlie Hebdo et de TV5 Monde, nous observons une demande croissante des Directions Générales sur la couverture des Cyber-risques.

Non seulement la Direction Générale répond de l’impact d’une attaque sur l’entreprise (Responsabilité des Dirigeants), mais elle peut également être mise en cause tant par les autorités de contrôle que par des actionnaires.

Cette prise de conscience de l’importance de ces sujets pour la survie des entreprises pourrait également être le signe que le marché gagne en maturité. Nous sortons progressivement d’une phase où les Cyber-risques étaient considérés comme des risques techniques, liés à l’informatique. Les dirigeants d’entreprise ont pris conscience que si leur système d’information est paralysé, le chiffre d’affaires sera directement impacté, et dans les cas les plus sévères, un incident peut entraîner la faillite. Ainsi, les couvertures Cyber sont de plus en plus reconnues comme des éléments de protection du bilan. L’adoption, tant attendue, fin décembre 2015 du Règlement européen relatif à la protection des données et qui entrera en vigueur début 2018 contraindra les entreprises à communiquer à leurs clients toute atteinte aux données (vol, perte, …). Le non-respect des obligations prévues dans ce Règlement sera sanctionné par la CNI par des amendes pouvant atteindre 4% du Chiffre d’Affaires mondial de l’entreprise.

About Laure Zicry

Spécialiste des lignes financières depuis plus de 15 ans, Laure Zicry, avocate de formation est spécialiste du t…
Categories: Cyber-risques, Français, Responsabilité des dirigeants, Technologies | Tags: , , , , , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *