Les difficiles mais essentielles relations entre le CISO et la Direction des Assurances

Le responsable des assurances contribue à la couverture des risques des fonctions essentielles de l’entreprise en trouvant la meilleure solution pour transférer les risques résiduels ⁽¹⁾ vers une société d’assurance. Il se voit désormais confronté à l’assurance du risque cyber qu’il doit également adresser. Certaines sociétés ont acquis suffisamment de maturité pour avoir une approche de la gestion des risques cyber qui s’effectue par les étapes de réduction, acceptation ou transfert ; en l’occurrence, vers un tiers externe comme une société d’assurance. Le CISO est alors un élément central dans le dispositif de définition des clauses et coûts des polices cyber car il doit aider les acteurs impliqués à appréhender la part du risque devant être assurée. De plus, le recours à une cyber-assurance peut satisfaire le Directeur Financier dans l’exercice d’équilibrage de son budget, mais ne couvrira pas l’impact sur l’image ou la réputation dans le cas d’un dysfonctionnement majeur.

Il ne faut pas perdre de vue que le CISO devra tout mettre en œuvre pour que l’ensemble des plans d’actions visant à réduire les risques identifiés soit en place avant d’avoir recours au transfert des risques résiduels vers une cyber-assurance. Avec l’ouverture des systèmes d’information liée à la digitalisation des entreprises, la surface d’attaque de l’entreprise augmente et il n’est plus possible pour la DSI d’avoir les possibilités financière et organisationnelle d’adresser tous les risques identifiés par le CISO et, de fait, le recours à la cyber-assurance devient de plus en plus incontournable.

Le marché de la cyber assurance se structure et les acteurs proposent désormais des polices « cyber » adaptées selon la taille de l’entreprise et son exposition / type de marché – enjeux cyber plus importants dans le monde du B2C que B2B par exemple. Ces dernières années, on a pu constater que les assureurs ont fait évoluer leurs polices traditionnelles de couverture des risques liés à l’information pour les regrouper au sein d’une police cyber dédiée. Préalablement, ces polices couvraient la perte d’exploitation, les dommages et la responsabilité civile professionnelle liée à tous les accidents y compris ceux relatifs à un dysfonctionnement des systèmes d’information. Désormais, on voit de nouveaux contours de polices cyber qui reprennent les clauses de type : perte d’exploitation (PE : incendie, inondation, bris de machine, …), dommage aux biens (y compris la fraude), pour les regrouper dans une nouvelle police « cyber » et apporter, en plus de l’indemnisation, des services en cas de sinistre.

Même s’il n’existe pas de standard de clause cyber, les entreprises sont en droit de demander de couvrir, en plus de la perte d’exploitation, des dommages et de la fraude, les risques relatifs à : la prise en charge des frais d’enquête de type forensic, la couverture des frais de notification et les frais juridiques en cas de perte de données à caractère personnel ou encore les frais d’extorsion dans le cas de rançongiciel (Ransomware).

Cependant, il est évident que les deux risques les plus importants à couvrir pour une entreprise sont d’une part, la perte de propriété intellectuelle (innovation, savoir-faire, …) et d’autre part, une attaque impliquant la perte d’image ou de réputation ; comme le rappelle une étude ⁽²⁾ publiée dans The Economist. Malheureusement, l’image / réputation et la propriété intellectuelle n’étant pas facilement quantifiables, les cyber-assurances ne couvrent naturellement pas ces risques.

Cependant, certaines polices proposent une assurance purement financière pour couvrir la Propriété Intellectuelle et l’image / réputation de l’entreprise. Ce type de police ne nécessite pas de justification du préjudice et propose un remboursement 1 pour X ; montant qui est défini par les règles de calcul de l’actuaire ⁽³⁾.

Il faut bien entendu que les intérêts financiers des assureurs soient garantis tandis que, pour les entreprises, le bon niveau de risque soit bien transféré. En effet les cyber-assureurs n’ont pas nécessairement une bonne vision des risques cyber de l’entreprise qu’ils assurent. D’où l’impérieuse collaboration entre le cyber-assureur et l’entreprise où le CISO est souvent en première ligne pour limiter les coûts de la police cyber.

Le CISO et le responsable des assurances doivent donc réfléchir et estimer la nécessité d’une cyber assurance en fonction du domaine du SI à couvrir et de la capacité de la direction informatique et des salariés à gérer l’information avec le minimum de risque.

Le CESIN, Club des Experts Sécurité de l’Information et du Numérique, publie chaque année un baromètre des tendances en matière de cybersécurité. Le domaine de la cyber-assurance est une tendance forte depuis ces dernières années comme l’indique l’extrait ci-joint.

Les évolutions des menaces d’une part et de la réglementation d’autre part, en particulier celle sur les données personnelles, ont sensibilisé les membres de la direction, dont celui en charge des assurances pour l’entreprise. Les impacts du GDPR (obligation de notification d’incidents entre autres) poussent les entreprises à recourir à la cyber-assurance.

Seule une très bonne coopération entre le CISO et le responsable des assurances va permettre d’estimer le risque résiduel à couvrir et obtenir un montant de police cyber à la hauteur des enjeux.

Tribune réalisée par Michel Juvin, membre du CESIN

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !