Les assurances cyber ne sont pas (bien) adaptés aux risques
Invités de la Journée de la Cybersécurité organisée par Silicon.fr, Cathy Loiseau et Jean-François Louapre, RSSI et membres du CESIN partagent leur expérience sur les freins au développement des contrats d'assurance cyber.
Souscrire à une assurance cyber (ou pas) ? La question sera sur l'agenda des RSSI en 2022.
En mai dernier, l'AMRAE (association professionnelle des gestionnaires de risque) suggérait que le marché français se trouvait dans un « cercle vicieux », notamment en raison de l'explosion du coût des primes. S'appuyant sur la situation du marché américain, « un peu plus mûr », elle relève que les taux de primes y sont en augmentation constante, laissant planer la perspective de « tensions inflationnistes » en Europe.
Cathy Loiseau, RSSI de CCR Group, conseille de procéder à un audit cyber comme étape préalable à une démarche d'assurance cyber.
Selon l'AMRAE, 87 % des grandes entreprises françaises ont une assurance cyber mais le taux passe à 8 % dans les ETI et à moins de 1 % dans les PME.
Lire aussi : Où en est la Cyber " Made in France " ?
Assurance cyber : une histoire de grands comptes
« Le cyber-assureur pose énormément de questions sur le SI de son assuré, et cela m'inquiète : ils ont une telle connaissance de toutes les vulnérabilités. Un hacker les ciblant gagnerait beaucoup de renseignements ! » alerte-t-elle. Un constat partagé par Jean-François Louapre, RSSI et fondateur du cabinet de conseil et de formation cyber Hackena : « les questionnaires des assurances sont de plus en plus détaillés ».
Une situation qui n'a, cependant, rien de surprenant selon sa consoeur qui estime que les assureurs veulent prendre le moins de risque possible. « Il faut leur montrer que vous avez un haut niveau de sécurité. Vous pouvez même avoir des grands oraux à passer. »
Pour autant , Jean-François Louapre estime l'expertise des assureurs est montée en puissance durant ces cinq dernières années. » La façon dont on mesurait les risques n'était pas sérieuse. « Aujourd'hui, les outils de cyber rating mesurent une vision de la sécurité mais il faudrait faire un audit de la maturité » avance-t-il.
Et de rappeler que l'assurance cyber comprend deux volets. D'un côté, la couverture des dommages. De l'autre, l'assistance à la gestion de crise, « très importante quand vous êtes une PME ou une ETI. »
« Ce n'est pas tous les jours que les assureurs ont un nouveau risque à couvrir. Ils se sont jetés sur le marché sans avoir les outils d'évaluation de la rentabilité des outils d'assurance. Il n'y avait pas de base d'évaluation des sinistres. » conclut Jean-François Louapre.
Sur le même thème
Voir tous les articles Cybersécurité