Au cours de ces dernières années, le nombre de cyber-attaques n’a cessé d’augmenter au même titre que les coûts subis par les entreprises comme le révèle une récente étude de l’Institut Ponemon. En effet, le montant moyen annuel relatif à une attaque s’élève aujourd’hui à 3,12 millions d’euros par entreprise en France, soit une progression de 3,3% par rapport à 2014, avec en moyenne 20 650 données volées en 2015. Dans ce contexte, la mise en place d’une politique globale de sécurité à un niveau stratégique est indispensable pour limiter les cyber-risques. Au-delà de la nécessaire adoption de solutions efficaces, de la sensibilisation et de la formation de l’ensemble des collaborateurs, de plus en plus de dirigeants s’intéressent aux contrats de cybera-ssurance.
Si le marché de la cyber-assurance a pris de l’avance aux Etats-Unis, il est en train d’émerger en France.
Dans la mesure où les entreprises prennent conscience qu’elles seront tôt au tard dans le viseur de pirates informatiques, elles veulent pouvoir assurer un haut niveau de protection de leurs données et leurs ressources afin de limiter les dommages préjudiciables. Si l’impact en matière de réputation fait partie des plus grandes craintes, les pertes économiques liées au vol d’information, à l’interruption de l’activité ou encore à la correction des cyber-attaques figurent parmi leurs principales préoccupations. Le risque est réel et les organisations cherchent aujourd’hui des solutions leur permettant de couvrir les frais qu’une attaque peut engendrer. C’est la raison pour laquelle elles s’intéressent de plus en plus à la cyber-assurance qui peut les indemniser des dommages immatériels qu’elles ont subi ou ont fait subir à un tiers suite à une intrusion au cœur du système d’information, une altération ou encore un vol de données.
De leur côté, les assureurs cherchent à améliorer les produits et les services disponibles en matière de cyberassurance bien qu’il ne soit pas toujours évident de déterminer l’impact que peut avoir une cyber-attaque sur l’activité d’une entreprise. Les méthodes et les techniques utilisées par les cyber-criminels sont en constante évolution et de plus en plus sophistiquées. Sans l’expertise requise, il est difficile pour les compagnies d’assurance de savoir exactement ce qui doit être couvert ou pas, surtout lorsqu’il est question de risques immatériels. Pour être en mesure de parer tous les cyber-risques et de fournir des solutions adaptées au besoin des entreprises, il est primordial pour les assureurs d’avoir une parfaite compréhension et vision de l’évolution du paysage des menaces. L’une des clés pour y parvenir est de travailler main dans la main avec les éditeurs de solutions de sécurité pour s’assurer que toutes les ressources de base sont couvertes.
Elle ne peut remplacer les outils de protection traditionnels et de nouvelle génération.
La cyber-assurance représente un atout pour la stratégie de sécurité des entreprises mais elle ne doit pas pour autant remplacer les outils de protection traditionnels et de nouvelle génération. Son rôle consiste à indemniser d’une partie des coûts liés à une attaque sur la base de son contrat. Elle n’assure cependant pas l’intégralité des conséquences subies telles que l’atteinte à l’image, la perte de clients ou encore la chute du cours de l’action en bourse. Les entreprises doivent donc s’assurer qu’elles disposent des outils suffisamment puissants et efficaces pour détecter et remédier rapidement à une attaque, et considérer la cyber-assurance comme une solution complémentaire. Il est en effet impensable qu’une organisation ne se repose que sur son contrat d’assurance, sans adopter les solutions de sécurité qui s’imposent, notamment si elle en a les moyens financiers. Négliger la protection de leurs données ainsi que celles de l’ensemble des acteurs avec lesquels elles interagissent, que ce soit les prestataires, les fournisseurs ou les clients, n’est pas seulement une question de coûts. Il en va également de leur responsabilité, un enjeu qui à lui seul devrait être le moteur de l’élaboration d’une stratégie de sécurité globale.
Le marché de la cyber-assurance se développe et s’organise pour proposer des offres adaptées aux entreprises en fonction de leur taille, de leur secteur d’activité et du niveau de criticité de leurs données. La prise en compte du risque par l’assurance doit être considérée comme un filet de sécurité, mais elle ne doit pas donner l’illusion aux organisations d’être en sécurité. Il est impératif que les bonnes pratiques en matière de sécurité soient maintenues pour préserver la sécurité des données de l’entreprise et celles des parties tierces, et limiter les pertes, deux enjeux majeurs face à la sophistication croissante des attaques et au contexte économique encore difficile.
______
Jean-Pierre Carlin est Directeur Europe du Sud chez LogRhythm