La cybermenace n’épargne plus aucune entreprise. Et pour y faire face, elles s’équipent d’outils leur permettant de se protéger en amont, et également de reprendre une activité rapidement en cas d’attaque informatique. Et de plus en plus, les entreprises se tournent également vers la cyberassurance.
L’année 2017 a vu des phénomènes comme les ransomwares prendre une ampleur inédite. D’après le 3ème baromètre du Cesin (Club des experts de l’information et du numérique), 73% des entreprises ont été confrontées à un ou plusieurs de ces logiciels malveillants au cours de l’année dernière. Face à la montée en puissance des cyberattaques, les demandes de cyberassurances sont en forte progression.
Cyberassurance : un marché en plein essor
Aujourd’hui, le marché mondial de l’assurance cyber est estimé entre 3 et 3,5 milliards de dollars. En 2017, selon le Cesin, 40% des grandes entreprises ont souscrit une cyberassurance, contre 26% en 2016. Des chiffres qui s’expliquent largement lorsque l’on sait que le virus NotPetya a fait perdre 250 millions d’euros à Saint Gobain par exemple.
« Souscrire à une cyberassurance permet de minimiser l’impact financier suite à un incident mais également d’effectuer une évaluation préalable du niveau de risque de sécurité pour ainsi connaître le niveau de maturité de son système d’information et ses différentes vulnérabilités », a expliqué Michael Bittan, associé responsable des activités cybersécurité chez Deloitte.
Pour le cabinet d’audit, lorsqu’une assurance est souscrite, les options de couverture des risques concernent la perte de données personnelles (42%), la protection de la propriété intellectuelle (32%), les virus et ransomwares (24%), l’image de marque de l’entreprise (20%) et l’incident de sécurité (15%).
En 2017, les autorités européennes de surveillance des assurances, des banques et des marchés ont publié un rapport sur les vulnérabilités du système financier européen. « La demande de cyber assurance est amenée à croître alors que les produits de couverture cyber sont relativement nouveaux sur le marché, avec des expériences limitées de souscription. Contrairement à d’autres types d’assurance, il existe un manque sévère de données historiques pouvant être utilisées pour fixer les prix. Par conséquent, des conditions restrictives sont souvent appliquées à ces polices d’assurance pour limiter le risque », peut-on lire dans ce rapport.
Assurer le risque cyber
Dans un rapport intitulé « Assurer le risque cyber », le club des juristes propose un certain nombre de préconisations à l’attention des assureurs pour mieux couvrir le risque cyber :
- Accélérer le développement d’une culture du risque cyber
- Expliquer clairement les contenus des différentes couvertures cyber et faciliter la comparaison des offres d’assurance
- Renforcer la relation de confiance entre assureurs et assurés dans la gestion des contrats cyber
- Développer un cadre de sécurité numérique pour les TPE/PME
- Mutualiser les données résultant d’incidents cyber
- Piloter les expositions et les cumuls de risques des assureurs et réassureurs
- Définir au niveau européen un ensemble de normes techniques facilitant l’évaluation du niveau de sécurité cyber des assurés
- Etablir les conditions d’une concurrence équitable entre les assureurs cyber
- Mettre en place, au niveau européen et international, une veille réglementaire et un suivi de l’évolution des marchés
- Orienter l’investissement public et privé vers l’émergence d’une filière française et européenne d’excellence en cyber-technologie.
Vers un renforcement des normes et certifications sur la sécurité
La cyberassurance a pour but de protéger les entreprises en cas de cyberattaque. Et son développement prend tout son sens face à une cyber menace grandissante.
Aujourd’hui l’application des normes de sécurité repose encore essentiellement sur la prise de conscience des entreprises face aux risques, même si certaines entreprises, tels que les OIV (Opérateurs d’Importance Vitale) sont contraints par le cadre réglementaire. Le développement de la cyberassurance a besoin de références. Cela permet de fixer ses tarifs en fonction du niveau de protection de ses clients. Une entreprise certifiée va tout simplement bénéficier d’un tarif plus avantageux qu’une entreprise non certifiée. Par ce mécanisme, tel le bonus/malus automobile, la cyberassurance va promouvoir l’adoption des certifications et référentiels de sécurité, tels que France CyberSecurity, les normes ISO, ou SecNumCloud de l’ANSSI qui est probablement le plus exigeant.
En savoir plus sur les certifications d’Oodrive
