Les assurances cyber ne sont pas (bien) adaptés aux risques
Publié par Philippe Leroy le - mis à jour à
Invités de la Journée de la Cybersécurité organisée par Silicon.fr, Cathy Loiseau et Jean-François Louapre, RSSI et membres du CESIN partagent leur expérience sur les freins au développement des contrats d'assurance cyber.
Souscrire à une assurance cyber (ou pas) ? La question sera sur l'agenda des RSSI en 2022.
En mai dernier, l'AMRAE (association professionnelle des gestionnaires de risque) suggérait que le marché français se trouvait dans un « cercle vicieux », notamment en raison de l'explosion du coût des primes. S'appuyant sur la situation du marché américain, « un peu plus mûr », elle relève que les taux de primes y sont en augmentation constante, laissant planer la perspective de « tensions inflationnistes » en Europe.
Cathy Loiseau, RSSI de CCR Group, conseille de procéder à un audit cyber comme étape préalable à une démarche d'assurance cyber.
Selon l'AMRAE, 87 % des grandes entreprises françaises ont une assurance cyber mais le taux passe à 8 % dans les ETI et à moins de 1 % dans les PME.
Assurance cyber : une histoire de grands comptes
« Le cyber-assureur pose énormément de questions sur le SI de son assuré, et cela m'inquiète : ils ont une telle connaissance de toutes les vulnérabilités. Un hacker les ciblant gagnerait beaucoup de renseignements ! » alerte-t-elle. Un constat partagé par Jean-François Louapre, RSSI et fondateur du cabinet de conseil et de formation cyber Hackena : « les questionnaires des assurances sont de plus en plus détaillés ».
Une situation qui n'a, cependant, rien de surprenant selon sa consoeur qui estime que l es assureurs veulent prendre le moins de risque possible. « Il faut leur montrer que vous avez un haut niveau de sécurité. Vous pouvez même avoir des grands oraux à passer. »
Pour autant , Jean-François Louapre estime l'expertise des assureurs est montée en puissance durant ces cinq dernières années. » La façon dont on mesurait les risques n'était pas sérieuse. « Aujourd'hui, les outils de cyber rating mesurent une vision de la sécurité mais il faudrait faire un audit de la maturité » avance-t-il.
Et de rappeler que l'assurance cyber comprend deux volets. D'un côté, la couverture des dommages. De l'autre, l'assistance à la gestion de crise, « très importante quand vous êtes une PME ou une ETI. »
« Ce n'est pas tous les jours que les assureurs ont un nouveau risque à couvrir. Ils se sont jetés sur le marché sans avoir les outils d'évaluation de la rentabilité des outils d'assurance. Il n'y avait pas de base d'évaluation des sinistres. » conclut Jean-François Louapre.