L’affaire qui oppose le géant mondial de l’alimentation Mondelez et le groupe d’assurances Zurich sur un contentieux lié aux dommages réclamés dans le cadre d’une attaque de type Ransomware (programme malveillant NotPetya) et non réglés par l’assureur pose la question : à quoi servent les cyber assurances ? Cette interrogation renvoie à deux interrogations : Qu’est-ce qu’une cyber assurance aujourd’hui ? Quels sont les risques qu’on peut partager en souscrivant un contrat d’assurance..

L’évolution des cyber assurances

Historiquement les polices prenant en charge les sinistres touchant le patrimoine informationnel d’une société prévoyaient des garanties « dommages » qui couvraient les pertes d’exploitation suite à une attaque. Les assureurs se sont adaptés à l’évolution de la menace et proposent maintenant des polices plus élaborées couvrant les aspects dommages et responsabilité civile. Les polices classiques ne couvrent généralement pas les risques cyber car l’attaque informatique ou la propagation de programmes malveillants sont souvent exclues des polices dommage aux biens et des responsabilités civiles professionnelles. En cas d’attaque, il peut être difficile de démontrer une faute de l’assuré pour bénéficier d’une couverture de sa RCP. Les assurances cyber sont donc proposées pour couvrir les conséquences financières que ce soit d’un point de vue dommage ou d’un point de vue des réclamations d’un tiers. Il faut dans les deux cas être en mesure de chiffrer le préjudice subi ce qui est souvent compliqué voire impossible après un incident de sécurité. Les assureurs spécialisés vont maintenant plus loin en proposant par exemple des compétences en gestion de crise. Concrètement les frais pris en charge peuvent concerner par exemple les investigations et expertise, les dépenses supplémentaires pour régir à une attaque, la reconstitution de données détruites voir certaines pénalités contractuelles imposées par des clients. Au sujet du RGPD (règlement général européen sur la protection des données), il faut garder à l’esprit que les cyber assurances ne prennent pas en charge le règlement d’éventuelles pénalités prononcées par les autorités de contrôle (CNIL pour la France). Les points à étudier de près, comme pour toute assurance sont les limites de garanties, en particulier les exclusions qui bien qu’ayant fortement évolué dans le sens des assurés pour les polices cyber restent complexes, comme le montre le contentieux entre Mondelez et Zurich au sujet de l’attaque virale NotPetya.

L’évaluation de risques

Les risques cyber sont généralement mesurés sous deux angles. L’impact financier, légal, opérationnel, réputationnel mais qui peut aller jusqu’à la sécurité des personnes en fonction des systèmes, par exemple dans le domaine de la santé. Ensuite la vraisemblance qui mesure la probabilité d’occurrence d’une attaque. Ce critère dépend de plusieurs facteurs comme les mesures de sécurité existantes, la motivation et les moyens de l’attaquant, le niveau d’exposition et l’attractivité de la victime. l’ISO 27005-2018 préconise quatre options de traitements des risques cyber : la réduction par l’introduction de nouvelles mesures de sécurité, le maintien des mesures existantes, le refus (par exemple dans le cas d’une analyse d’opportunité pour un nouveau projet) et le partage. C’est dans le cadre de cette quatrième option que les cyber assurances se situent. Il est donc indispensable d’analyser ses risques avant de décider si une police cyber est nécessaire. Une analyse quantitative sera privilégiée par l’assureur mais reste difficile à mener dans le monde de la cybersécurité. Ainsi, la mesure de l’impact financier de la divulgation d’informations sensibles n’est pas aisée. La plupart des méthodes préconisent des approches mixtes, qualitative et quantitative (EBIOS Risk Manager par exemple) mais certaines méthodes proposent une approche essentiellement quantitative des cyber risques (méthode FAIR par exemple). On choisira généralement une police cyber assurance pour les risques d’impact très élevé et de vraisemblance faible qu’on ne peut pas réduire par des mesures de sécurité ou avec des coûts trop élevés. Les PCA (plan de continuité des activités) ou BCP (business continuity plan) sont aussi des réponses intéressantes pour répondre à ce type de risques. On constate d’ailleurs que de plus en plus de scénarios cyber sont traités dans ces plans avec l'organisation d'exercices de simulation pour se préparer aux cybercrises.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Et retrouvez notre catalogue de formation 2019.