Les contrats d’assurance traditionnels n’ont pas étés conçus pour répondre à ces besoins nouveaux. Ils excluent meme parfois ce type de risque !
Gérant associé d’Assurwest, Jacques Izart réponds aux questions de la Revue des anciens élèves de l’Ecole polytechnique (X).
En cas de divulgation, proposez-vous de réparer le dommage et comment l’évaluez-vous?
Si les données ont été volées, il est possible d’obtenir réparation, qu’elles soient divulguées ou utilisées à des fins commerciales sans aucune publicité (ex : vol de fichiers clients). La difficulté sera de prouver le vol des données, car la flagrance n’est pas évidente. Le vol peut se produire pendant des mois entiers et n’être découvert que très tardivement alors que le dispositif de captation des données a cessé de fonctionner depuis longtemps.
Comment prouver le vol alors que les données sont toujours dans mon système ?
Cela pose trois questions : comment mon dispositif de sécurité informatique peut me prévenir rapidement lorsqu’un flux anormal se produit (monitoring) ? Comment tracer mes données afin de prouver que celles utilisées par mon concurrent proviennent de mes bases ? Comment estimer mon préjudice ?
Nous conseillons nos clients pour les aider à apporter la preuve d’un vol de données. Les contrats d’assurance peuvent alors jouer pleinement leur rôle. Ils vont rembourser la perte d’exploitation, les frais d’investigation, les frais éventuels de reconstitution et de notification. Des actions sont également engagées afin d’agir sur l’e-réputation des clients sinistrés. Le tout, dans les conditions prévues au contrat. D’où la nécessité de bien analyser le contrat avant de souscrire. Pour les grands comptes, en travaillant avec le risk manager et le RSSI, nous définissons des scénarios de crise et rédigeons ensuite avec l’assureur un contrat « sur mesure».
Est-il possible d’envisager des contrats d’assurance en cas de divulgation des données et de cyber-attaques?
Au sens large, les cyber-risques sont les conséquences d’une atteinte au système d’information ou les effets d’une compromission des données (sans blocage du système d’information). Les contrats d’assurance traditionnels n’ont pas été conçus pour répondre à ces besoins nouveaux. Ils excluent même parfois ce type de risque ! Depuis quelques années, des polices d’assurances « cyber » sont donc apparues afin de combler ces lacunes, mais le risque n’est pas mûr et les contrats distribués en France offrent des périmètres de couverture encore hétérogènes. Ces polices « cyber » peuvent se substituer aux contrats mis en place dans l’entreprise ou venir simplement les compléter.
Mais une bonne assurance des risques cyber de l’entreprise se limite-t-elle seulement à couvrir les cyber-attaques?
Non, car l’erreur humaine (erreurs de programmation, de manipulation…) tout comme certains événements accidentels (dégâts des eaux, incendie, catastrophes naturelles…) peuvent provoquer des sinistres cyber. C’est pourquoi un bon contrat cyber protège l’entreprise au-delà des cyber-attaques.
Des experts peuvent-ils intervenir comme dans les sinistres habituels ?
Certains contrats proposent en effet une offre de services très utile : des experts juridiques qui gèrent les aspects légaux liés à la crise, des experts techniques qui investiguent sur l’incident et tentent d’en limiter les effets ainsi que des experts en communication qui gèrent les stratégies de communication interne et externe. Tous ces prestataires externes peuvent être pris en charge par le contrat d’assurance en cas de sinistre. Une bonne couverture des risques cyber passe très souvent par la souscription d’un contrat sur mesure de type « police d’assurance cyber ».
Comment voyez-vous l’avenir de l’assurance des datas?
Le marché de l’assurance des données des entreprises est encore embryonnaire en France et beaucoup d’acteurs tâtonnent encore sur le sujet. Tous les clients ne sont pas bien assurés en Responsabilité civile pour les dommages qu’ils peuvent causer aux entreprises avec lesquelles ils sont en relation (transmission de virus).
Comment incitez-vous les groupes à se protéger ?
Les efforts de communication de l’État, la progression des sinistres et les évolutions réglementaires (amendes en cas d’absence de mesures de protection suffisantes) devraient conduire les grandes entreprises françaises à optimiser leur prévention, leur protection et leur programme d’assurances. Enfin, la valorisation des Data grâce aux offres proposées par Altares (DSure) pourrait amener les assureurs à proposer des polices d’assurance cyber sur une base forfaitaire et non plus indemnitaire. Une évolution très intéressante pour ce marché à fort potentiel pour les assureurs.