L’affaire qui oppose le géant mondial de l’alimentation Mondelez et le groupe d’assurances Zurich sur un contentieux lié aux dommages réclamés dans le cadre d’une attaque de type Ransomware (programme malveillant NotPetya) et non réglés par l’assureur pose la question : à quoi servent les cyber assurances ? Cette interrogation renvoie à deux interrogations : Qu’est-ce qu’une cyber assurance aujourd’hui ? Quels sont les risques qu’on peut partager en souscrivant un contrat d’assurance..

EBIOS est une méthode d’analyse de risques développée dans sa version initiale par la DCSSI (direction centrale) devenue ANSSI (agence nationale). Cette méthode qui a évolué d’EBIOS 2010 vers EBIOS Risk Manager est couramment utilisée dans le cadre des homologations (défense, référentiel général de sécurité, activités d’importance vitales…), pour des certifications ISO 27001 et Cloud ou établir des attestations de conformité (SOC for Cybersecurity par exemple) L’analyse et le traitement des risques sont des activités de fond pour tout professionnel de la sécurité car il s’agit d’adapter les mesures de sécurité au niveau requis. EBIOS Risk Manager peut par conséquent être suivie dans un cadre plus large que les homologations et les certifications. D'autres types de méthodes, centrées sur le développement logiciel se concentrent sur la modélisation des menaces.

L’agence européenne de la sécurité des systèmes d’information, l’ENISA (European Network an Information Security Agency) basée à Heraklion, dont le rôle a été renforcé par le règlement européen « Cyber Act » a publié un référentiel des risques Cloud en 2009 et revu en 2012. Ce référentiel fait partie du programme des certifications CCSK et CCSP. Il aborde les bénéfices des services Cloud pour la sécurité, les risques et propose une évaluation générique en fonction de la vraisemblance et de l’impact métiers des scénarios envisagés.