Si les entreprises françaises s’accordent sur le caractère vital d’une assurance contre les violations de données, seules 40 % des entreprises sont intégralement couvertes contre les violations de sécurité et à la perte de données.
C’est le constat révélé par le rapport Risk:Value 2016 publié par NTT Com Security, spécialiste de la gestion du risque et de la sécurité de l’information qui montre aussi qu’à peine plus du tiers des entreprises hexagonales ont contracté une police de cyber-assurance dédiée. Un constat confirmé en tous cas aux Etats-Unis par une autre enquête réalisée Council of Insurance Agents & Brokers (Cyber Insurance Market Watch Survey) montrant une proportion encore faible des entreprises ayant souscrit une assurance pour couvrir les cyber-risques.
Plus d’un sur dix (12 %) concède que son entreprise n’est couverte contre aucune des deux menaces : la violation de sécurité ou la perte de données. Et ce, alors que la majorité des personnes interrogées reconnaissent l’intensification de l’activité cybercriminelle.
Certes, les cyber-assurances font de plus en plus d’adeptes et incluent désormais des garanties contre les violations de données/confidentialité, ainsi que des couvertures de responsabilité civile en cas d’extorsion ou de compromission de la sécurité réseau. Cependant, même si 43 % sont en passe de contracter une telle police ou envisagent de le faire, seules 35 % des entreprises voient la nécessité d’y souscrire.
C’est aux États-Unis que l’on trouve le plus d’assurés : 51 % des entreprises contre seulement 26 % au Royaume-Uni. Les secteurs les plus réceptifs aux polices de cyber-assurance dédiées sont la distribution (43 %), les prestataires de services B2B (43 %) et les utilities (39 %).
Parmi les décideurs d’organisations assurées contre les violations et les pertes de données, 46 % seulement estiment que leurs frais de justice seront couverts. Ils sont encore moins nombreux à penser être assurés contre des sanctions réglementaires (43 %), des amendes des pouvoirs publics (41 %) et des réparations (41 %). Quant aux risques de manque à gagner et de perte de propriété intellectuelle, ils ne sont couverts que pour 25 % des entreprises sondées.
On ne court pas un marathon avec des chaussures de ville.
On ne couvre pas le cyber risque avec une police globale de responsabilité civile.
Concernant la validité de leur contrat, la moitié des personnes interrogées estiment que le non-respect de certaines obligations de sécurité pourrait invalider leur couverture, tandis que 46 % voient un problème potentiel dans les écarts par rapport aux politiques internes et que 43 % évoquent le manque de plan d’intervention sur incident.
Le marché de la cyber-assurance est encore naissant et même si une offre importante existe sur le marché, les entreprises ne sont pas toujours au fait de ces questions. Evidemment, reconnait la société NTT Con Security, une police de cyber assurance est source de multiples ambiguïtés et que les polices d’assurance de responsabilité civile ne sont pas adaptée à ces nouveaux risques (voir encadré ci-dessous sur l’affaire Sony).
L’affaire de pertes de données de Sony
En mars 2014, Le tribunal de New-York a rejeté l’indemnisation réclamée par Sony Corporation à ses compagnies d’assurance, en particulier Zurich America Insurance, au titre de sa couverture responsabilité civile. Le piratage de son réseau playstation survenu en 2011, dans lequel plus de 100 millions d’utilisateurs auraient été impactés par la violation de données, a valu à la multinationale des centaines de millions de dollars de pénalités et de coûts associés. Cette décision juridique, sans précédent, remet en question la fiabilité des assurances responsabilité civile en matière de cyber-intrusion. Sony a fait appel et a trouvé en suite un accord avec la société d’assurance dont les termes n’ont pas été révélés. Au total, les pertes de Sony ont été estimées à quelque 2 milliards de dollars.
«L’exemple de Sony montre que faire confiance à des polices globales de responsabilité civile pour régler les problèmes de violations de données peut s’avérer un très mauvais calcul. De plus en plus d’acheteurs s’adressent aux assureurs, pour qu’ils agissent en fournisseur de services lorsqu’il s’agit de gérer les conséquences d’une violation importante. Le volet services représente, selon nous, un moteur essentiel de croissance des cyber-assurances», avait considéré alors Jimaan Sané, souscripteur Technologies, médias et société de services au caninet Beazley (Source : Cyber Risques News).
« Face aux risques qui les menacent chaque jour, les entreprises recherchent des solutions de rafistolage au lieu de consolider leur dispositif de sécurité et de gestion du risque », explique Garry Sidaway, Vice-président senior Strategy & Alliances, NTT Com Security.
«Si l’assurance est essentielle, il faut en effet aussi démontrer que des dispositifs de réduction des risques sont en place, tout en sachant exactement ce qu’ils recouvrent. C’est la seule façon de savoir ce qui est couvert par le contrat. Il faut aussi pouvoir démontrer que ces dispositifs sont régulièrement testés et audités. Les assureurs veulent savoir ce qu’ils assurent et connaître les mesures de réduction des risques mises en place. C’est la seule façon d’obtenir un contrat. »
Trop souvent, une entreprise qui se lance dans une telle démarche ne connait pas assez bien les risques auxquels elle est confrontée. Sachant que cette connaissance n’est pas une tâche aisée tout comme celle de mettre une valeur monétaire sur les coûts des cybercrimes. De nombreuses approches dans ce domaine, affirme NTT Com Security, ont été discréditées et n’ont pas tenu à l’épreuve du temps.
Zoom sur les entreprises françaises
Parmi les participants dont l’organisation est assurée contre les pertes de données et/ou les violations de sécurité :
- Seuls 26 % (taux le plus bas de tous les pays) affirment que leur assureur couvrirait les frais de justice résultant d’une perte de données ou d’une violation de sécurité. En revanche, 31 % (taux le plus haut) déclarent que leur assureur couvrirait les frais RP/Marketing dans ce type de situation (contre seulement 20 % pour l’ensemble des sondés)
- 47 % des participants français pensent que toute infraction à leurs obligations de conformité pourrait invalider leur couverture
- 55 % pensent que le non-respect des politiques internes de l’entreprise pourrait invalider leur couverture (contre 46 % pour l’ensemble des sondés)
- 51 % estiment que l’absence de plan d’intervention sur incident pourrait invalider leur couverture (contre 43 % pour l’ensemble des sondés)
- En résumé, les décideurs français interrogés estiment que la première cause d’invalidation d’une couverture serait le non-respect des politiques internes (55 %), suivie par l’absence de plan d’intervention sur incident (51 %), le non-respect des obligations de conformité (47 %) et une sécurité physique insuffisante (41 %)