Ces dernières années, les risques liés à la sécurité des systèmes d’information se sont considérablement développés et sophistiqués. Le risque cyber est ainsi devenu un enjeu majeur pour les entreprises : responsabilité, compétitivité, pérennité, images, données et risques économiques.

Face à ce risque, comment le marché de l’assurance s’est-il adapté ? 

L’ACPR[i] a publié ses analyses du marché de l’assurance des risques cyber fin 2019[ii].

Elle constate que les contrats d’assurance « dédiés au cyber risque sont pour le moment peu développés » malgré l’exposition croissante des entreprises et des particuliers à ce type de risque.

Les axes d’améliorations identifiés sont les suivants :

  • « évaluer de façon exhaustive l’exposition du portefeuille au risque cyber, notamment en termes de garanties implicites ; (….)
  • clarifier les définitions et la terminologie relatives aux risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs d’assurance ;
  • construire progressivement les bases statistiques qui permettront de mieux délimiter les garanties et de les tarifer de façon pertinente ;
  • et enfin, sensibiliser et former les acteurs au risque cyber, tant du côté des assurés que des forces commerciales (articulation promotion / prévention). »

L’ACPR relève que les garanties proposées par les assurances couvrent une grande variété de risques avec entre autres « les pertes d’exploitation, la reprise d’activité suite à l’indisponibilité du système d’information, les conséquences d’actes de malveillance ou d’erreurs humaines, ou encore les conséquences pécuniaires des réclamations introduites par des tiers à l’encontre de l’assuré et mettant en jeu
sa responsabilité ».

Toutefois, il est important de noter que ces garanties « s’accompagnent souvent d’une organisation spécifique et d’actions de sensibilisation et de prévention ».

En conclusion, l’ACPR précise qu’ « encore peu d’organismes disposent d’une cartographie exhaustive des contrats et portefeuilles concernés. Ils ne peuvent par conséquent pas évaluer correctement leur exposition au risque cyber ».

Si une protection par une assurance adéquate apparait aujourd’hui indispensable, cette dernière doit s’accompagner d’une stratégie d’entreprise globale de gestion du risque cyber.

NOS 5 RECOMMANDATIONS AFIN DE METTRE EN PLACE UNE STRATÉGIE D’ANTICIPATION ET DE GESTION DES RISQUES CYBER :

  1. Une sensibilisation interne adaptée : des nombreux experts l’expliquent : l’erreur humaine est l’un des principaux facteurs du risque cyber. Une éducation du risque cyber adaptée et ciblée permet indéniablement de réduire le risque cyber.
  2. Organiser son système d’information comme une forteresse : cette technique de défense ancestrale apparait aujourd’hui parfaitement adaptée pour faire face aux risques cyber. Cela signifie notamment de cloisonner son système d’information et verrouiller l’ensemble des portes d’entrée, multiplier les outils de défense, effectuer des cloisonnements internes…
  3. Mettre en place un service de veille : l’une des particularités du risque cyber est son évolutivité constante. Dès lors, il est impératif d’appréhender ces évolutions afin d’adapter les défenses de son système d’information.
  4. S’organiser en cas d’attaque : mettre en place des procédures adéquates et évolutives internes afin de permettre une réponse adéquate et structurée en cas d’incidents impactant le système d’information.
  5. Couvrir les risques via une assurance adaptée. les assurances RCP ne couvrent en générale pas le risque cyber. Une assurance dédiée parait être une action pertinente qui devra prendre en compte le contexte spécifique de chaque organisation.

Les entreprises et plus largement toutes les organisations, doivent désormais s’adapter pour appréhender le risque cyber afin de pouvoir adopter une stratégie d’anticipation globale efficace.


Claudia Weber, Avocat associé et Marine Hardy, Avocat responsable du Pôle Innovation et Sécurité

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de sécurité, accompagne ses clients dans les actions de prévention et de défense en matière de sécurité, fraude et de cybercriminalité.

Vous avez besoin de mettre en place une stratégie de sécurité ? vous subissez une attaque ?

Vous ne connaissez pas votre niveau de sécurité ? Demandez votre audit flash,

Découvrez notre offre innovante en matière de sécurité.

Pour nous contacter : cliquez ici

 

[1] – L’autorité de contrôle prudentiel et de résolution (ACPR) a notamment pour mission de contrôler les secteurs de la banque et de l’assurance et de veiller à la stabilité financière.
[2] –  
https://acpr.banque-france.fr/communique-de-presse/la-distribution-des-garanties-contre-les-risques-cyber-par-les-assureurs

Nous contacter