Cyber-assurance : quelles clés pour y souscrire ?

Avec la hausse de la cybercriminalité les assureurs et courtiers constatent un fort accroissement des demandes de cotation pour leur produit de cyber-assurances en 2013. Mais que peut-on assurer et à quel prix ? Un focus du cabinet Solucom apporte des éléments de réponse.

La préoccupation des états et entreprises face à la cybercriminalité a fait émerger de nouvelles réglementations et impose de nouvelles stratégies pour réduire les risques ou leurs impacts. Parmi elles, on retrouve les cyber-assurances. Celles-ci se positionnent sur deux axes.
Le premier concerne le recouvrement des coûts liés à une attaque cybercriminelle.
Le deuxième vise à restreindre l’impact de l’incident via l’intervention d’experts financés et mobilisés par l’assureur pour gagner en réactivité et en maîtrise.

Si les cyber-assurances se positionnent en complément des contrats classiques, elles intègrent néanmoins les mêmes mécanismes: prime, montant de la couverture, portée et franchise associée, même si le côté immatériel de la cyberattaque rend plus difficile l’évaluation des périmètres touchés et des coûts associés.

Mesurer son exposition aux risques

La cyber-assurance voit son intérêt croître avec la multiplication des attaques et le renforcement des contraintes réglementaires, et notamment les probables futures obligations de notification des incidents auprès des clients finaux.

La notification des fuites peut en effet s’avérer extrêmement coûteuse (plusieurs dizaines d’euros par client) ; Ces obligations déjà en vigueur pour les opérateurs télécoms, devraient être étendues à toutes les entreprises gérant des données personnelles en application d’une nouvelle législation européenne.

Une entreprise doit s’interroger sur l’opportunité d’une cyber-assurance lorsque :
• Elle est susceptible de faire face à une attaque dont les conséquences sont facilement mesurables (par exemple le CA d’un site de e-commerce)
• Son SI est fortement interconnecté avec l’extérieur
• Elle gère de nombreuses données personnelles
• Elle tient une position stratégique sur un marché et devient une cible (cyber-espionnage, vol de données…)
• Elle manque d’expertises face à la cybercriminalité et doit néanmoins savoir y réagir rapidement

La décision de souscription requiert un arbitrage entre l’exposition de l’entreprise, son niveau d’expertise sécurité, le risque résiduel à couvrir, les garanties proposées et le montant de la prime annuelle.

Le processus de souscription

Une analyse des risques et un bilan assurantiel impliquant toutes les parties de l’entreprise sont nécessaires : le département de risk management et sécurité de l’information et la DSI, mais aussi la direction de la communication, les responsables de la relation client, le service juridique.

Un courtier pourra accompagner l’entreprise dans la phase de souscription. En effet le marché est jeune, les polices en pleine évolution, il est essentiel de savoir bien comparer les différents services, leur portée et les limites de chaque couverture.
Le contrat devra ensuite vivre, et le client communiquer à son assureur toute modification des risques sur son SI. Il devra surtout mettre en place les processus de déclaration d’incidents afin d’être en mesure d’alerter l’assureur dans les délais requis et de recueillir les preuves pour l’indemnisation dans le respect des conditions du contrat (notification, délais, intervention d’experts…).

Quelques chiffres clés de la cyber-assurance (chiffres issus de différentes études et rencontres réalisées par Solucom auprès des assureurs français au 1er semestre 2013).

La capacité du marché est évaluée en moyenne autour de 20 Millions d’euros par assureur, ce montant peut atteindre 100 à 150 millions en contrat multi-assureurs. Les montants de prime sont aujourd’hui élevés comparés aux assurances traditionnelles compte tenu de la faible maturité du marché et du nombre de sinistres de plus en plus important. Le montant de franchise est un facteur de variation du coût de l’assurance et un indicateur clé de la stratégie de couverture des risques.