Les assurances cyber ne sont pas (bien) adaptés aux risques

Souscrire à une assurance cyber (ou pas) ? La question sera sur l'agenda des RSSI en 2022. 

En mai dernier, l'AMRAE (association professionnelle des gestionnaires de risque) suggérait que le marché français se trouvait dans un « cercle vicieux », notamment en raison de l'explosion du coût des primes. S'appuyant sur la situation du marché américain, « un peu plus mûr », elle relève que  les taux de primes y sont en augmentation constante, laissant planer la perspective de « tensions inflationnistes » en Europe.

Cathy Loiseau, RSSI de CCR Group

Cathy Loiseau, RSSI de CCR Group,  conseille de procéder à un audit cyber comme étape préalable à une démarche d'assurance cyber.

Selon l'AMRAE,  87 % des grandes entreprises françaises ont une assurance cyber mais le taux passe à 8 % dans les ETI et à moins de 1 % dans les PME. 

Assurance cyber : une histoire de grands comptes

« Le cyber-assureur pose énormément de questions sur le SI de son assuré, et cela m'inquiète : ils ont une telle connaissance de toutes les vulnérabilités. Un hacker les ciblant gagnerait beaucoup de renseignements ! » alerte-t-elle. Un constat partagé par Jean-François Louapre, RSSI et fondateur du cabinet de conseil et de formation cyber Hackena : « les questionnaires des assurances sont de plus en plus détaillés ». 

Jean-François Louapre - RSSI et fondateur de Hackena

Une situation qui n'a, cependant, rien de surprenant selon sa consoeur qui estime que les assureurs veulent prendre le moins de risque possible. « Il faut leur montrer que vous avez un haut niveau de sécurité. Vous pouvez même avoir des grands oraux à passer. »

Pour autant , Jean-François Louapre estime l'expertise des assureurs est montée en puissance durant ces cinq dernières années.  » La façon dont on mesurait les risques n'était pas sérieuse. « Aujourd'hui, les outils de cyber rating mesurent une vision de la sécurité mais il faudrait faire un audit de la maturité » avance-t-il.

Et de rappeler que l'assurance cyber comprend deux volets. D'un côté, la couverture des dommages. De l'autre, l'assistance à la gestion de crise, « très importante quand vous êtes une PME ou une ETI. »

« Ce n'est pas tous les jours que les assureurs ont un nouveau risque à couvrir. Ils se sont jetés sur le marché sans avoir les outils d'évaluation de la rentabilité des outils d'assurance. Il n'y avait pas de base d'évaluation des sinistres. » conclut Jean-François Louapre.