Pour évaluer les risques, les assureurs se basent sur un certain nombre d’éléments qu’ils recueillent auprès des candidats à l’assurance par le biais de questionnaires de souscription (nous en joignons un en annexe à titre d’exemple(144)), plus rarement par une visite de risques lorsque le montant de garantie sollicité est élevé.
Notons qu’un assureur a mis en place un outil de souscription et de gestion simplifié en ligne ayant vocation à remplacer la souscription manuelle pour les petites affaires. Cette interface s’adresse aux courtiers et aux entreprises directement. La démarche est intéressante car elle permet d’obtenir une cotation rapide. Ce mode de souscription simplifié de police cyber s’adresse aux petites voire très petites entreprises, pour de faibles montants de garantie (compris entre 50 000 et 1 million d’euro). Les garanties ainsi accordées sont nécessairement plus restreintes. Les pertes d’exploitation, notamment, ne sont pas garanties. Mais l’idée est d’accéder à un marché encore peu exploité, celui des PME-TPE, car les assureurs visent globalement plutôt les grands groupes.
En phase de souscription, les entreprises sont ainsi interrogées sur la nature de leur activité et sur le montant de leur chiffre d’affaires.
L’assureur cherche notamment à déterminer le niveau de dépendance de la société à son système d’information, avec la question de la durée d’interruption du système que l’entreprise peut supporter avant de subir un impact notable.
Ces éléments permettent à l’assureur d’évaluer le risque de pertes d’exploitation principalement.
Les entreprises sont par ailleurs longuement questionnées sur leur politique de sécurité des systèmes d’information et sur le volume, la nature et les conditions de traitement et de sauvegarde de leurs données(145).
On observe d’une manière générale que la prévention est essentielle en matière de cyber-risques. Les questions des assureurs révèlent bien sûr l’importance des mesures de sécurité informatiques mais démontrent aussi qu’elles ne se suffisent pas à elles-mêmes. Outre leur mise en place, il faut en effet contrôler régulièrement leur efficacité et les faire évoluer le cas échéant.
Il existe des certifications en la matière qui pourront être appréciées des assureurs : normes ISO 27000(146) notamment, ou encore le standard PCI DSS(147).
De plus, les entreprises doivent démontrer qu’elles agissent sur les comportements à risques, à l’origine d’une grande partie des sinistres, en réalisant notamment des opérations de sensibilisation et de formation des utilisateurs du système d’information. La mise en place de plans de gestion de crise constitue un autre point positif pour les assureurs.
Cette gestion du risque en amont par les entreprises est une condition quasiment indispensable à l’assurance des cyber-risques.
Les questionnaires peuvent paraître longs et fastidieux pour certaines entreprises qui ne sont pas toujours à même de répondre aux questions les plus techniques ou bien qui ne souhaitent pas y consacrer le temps nécessaire. A l’inverse, si l’assureur a pour interlocuteur un responsable informatique, des difficultés de dialogue peuvent exister. Les informaticiens manquent en effet parfois d’une vision économique des cyber-risques (enjeux financiers), et les assureurs ne sont pas forcément des spécialistes des concepts informatiques. Des efforts d’explications sont nécessaires de la part des deux parties.
Mais une telle enquête notamment sur la politique de sécurité du système d’information de l’entreprise est primordiale pour que l’assureur puisse évaluer et tarifer les risques.
Il est toutefois difficile et parfois même impossible pour la compagnie d’assurance d’observer et d’évaluer justement les risques individuels. Deux problèmes d’information en sont à l’origine : le risque moral (qui désigne l’influence que peuvent avoir les assurés sur les événements aléatoires ) et l’antisélection (ou sélection adverse).
144 Cf Annexe 2
145 Cf Annexe 2
146 L’ISO, « International Organization for Standardization », organisation internationale de normalisation, est le premier producteur de normes internationales d’application volontaire dans le monde. La série des normes ISO 27000 est un ensemble de définitions, de recommandations, d’exigences de sécurité, applicables aux systèmes d’information.
147 « Payment card industry data security standard ». Il s’agit d’un corpus de normes de sécurité pour la protection des données de comptes établi par le PCI SSC « Payment card industry security standards council », un forum international initié par les grands acteurs américains du paiement bancaire.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance