BFM Business

Les assurances lorgnent sur les risques en cybersécurité

Les récentes cyberattaques ont fait suffisamment de dégâts pour que les entreprises envisagent aujourd'hui de renfrocer leurs contrats d'assurance pour faire face à ce type de menaces.

Les récentes cyberattaques ont fait suffisamment de dégâts pour que les entreprises envisagent aujourd'hui de renfrocer leurs contrats d'assurance pour faire face à ce type de menaces. - Pixabay

Face à la menace grandissante des attaques informatiques, les entreprises sont de plus en nombreuses à rechercher une couverture assurantielle.

A l’instar d’autres pans de leur activité, un nombre croissant d’entreprises recherche une couverture assurantielle pour leurs risques cyber. A cela, deux raisons principales: de grosses attaques informatiques récentes qui ont coûté plusieurs dizaines de millions de dollars à leurs victimes (Sony, Target…) et l’obligation pour les entreprises européennes (sans doute à partir du 1er janvier 2018) d’informer leurs clients en cas de vol de données personnelles. Ces frais de notification pouvant eux-mêmes atteindre plusieurs millions d’euros.

Bien définir le périmètre à assurer

Les assureurs ont bien compris l’enjeu et quasiment tous les grands acteurs de la place ont aujourd’hui une offre. Mais la première difficulté est de savoir ce qui est couvert ou non et donc de définir le risque cyber. Car il s’avère que les assureurs mettent "dans le cyber", des risques parfois déjà couverts par une assurance en responsabilité civile. "Il y a toujours un socle commun : garantie de dommages, gestion de crise, frais de notification…", souligne Laure Zicry Responsable technique Cyber Risk chez le courtier Gras-Savoye. La définition du périmètre et des besoins de l’entreprise doit donc être un travail commun qui va réunir le directeur juridique, le directeur des assurances et/ou le responsable de la gestion des risques et surtout le RSSI pour la partie informatique.

Les assureurs exigent parfois un audit de sécurité

La question se pose aussi d’autoriser l’assureur à faire un audit du système d’information. Ce dernier pouvant refuser de couvrir un client qui n'accepterait pas de livrer des données considérées comme confidentielles. Enfin, si le montant de la prime est jugé trop élevé, Nadine Delouche, Risk Manager, GIRC Agirc-Arrco préconise d’optimiser la partie matérielle. Il n'est par exemple pas forcément pertinent d'assurer des ordinateurs portables en tant que matériel. Assez peu volés, ils ne sont pas très onéreux pour une entreprise. Par contre il faut réussir à évaluer les données qu'ils contiennent. Les experts juridiques conseillent enfin de bien évaluer les franchises.

Florence Puybareau