Les défis de la cyberassurances au menu du Breakfast


Cyberassurance: forte croissance et questions existentielles

Pour sa 26 édition, le Cybersecurity Breakfast s’est déplacé à la Chambre des métiers et a joué les prolongations pour explorer un sujet émergent: la cyber assurance.

Les dégâts causés par un incendie ou par un vol sont concrets et plus ou moins facile à quantifier. Concernant les risques cyber, c’est moins évident… Et pourtant un vol de données ou une paralysie temporaire de certaines machines à cause d’un virus peut avoir des conséquences aussi graves qu’un incendie. Voire davantage…

La question est donc le cyber-risque est-il assurable? Thierry Murté (CyQuant) a tenté d’y répondre en pointant les difficultés que comportent ces risques nouveaux. D’un côté, ils sont par nature quasiment imprévisibles contrairement à la plupart des catastrophes naturelles. De l’autre, les assureurs manquent de recul et de données leur permettant d’évaluer le coût des dommages, et les données disponibles ne constituent que la partie visible de l’Iceberg. En outre, les menaces évoluent très rapidement et rendent encore plus difficile l’évaluation des risques.

Une table-ronde animée par François Thill (Ministère de l’Économie) a ensuite rassemblé 3 experts pour approfondir le sujet:

  • Thierry Murté, CyQuant
  • Carole Weydert, Commissariat aux Assurances,
  • Philippe Bonte, CFO, Le Foyer Assurances

Au cours des discussions, François Thill a mis en avant l’importance de la sensibilisation et de l’information sur les menaces (comparable à un bulletin météo) dont les entreprises ont besoin. Et tout le monde s’accordait que l’assurance ne devait pas être une fin en soi mais une protection complémentaire et sans doute une occasion de faire le point sur la prévention et sur la réponse sur incident.

Les professionnels de l’assurance étaient au moins d’accord sur un point: “notre mission ne doit pas s’arrêter à l’indemnisation des dommages”. Une intervention en amont dans l’analyse des risques et la prévention est indispensable… Et en aval aussi: “nous devons fournir au client une assistance en cas d’incident, sous forme de helpline mais aussi en lui mettant à disposition des experts techniques et légaux qui leur permettront de contenir les dégâts. “Un bon conseil juridique dans les premiers instants après un incident, cela peut faire la différence”, a insisté Philippe Bonte. La préparation au risque est également déterminante. Des exercices les plus réalistes possibles ne sont pas un luxe. Dans cette optique, la Room#42 vaut le détour.

Pour convaincre l’assistance, les intervenants ont évoqué quelques “cas d’école” d’entreprises de 1er plan qui ont dû faire face à une cyberattaque de grande ampleur. Moller Maersk et British Airway notamment. Chacun a apporté un éclairage différent et complémentaire sur ces cas. On retiendra le niveau astronomique (autour de 300 millions d’euros) de la facture des dégâts, mais aussi la sophistication des attaques pour certains. Dans ces 2 cas, un manque de préparation et de mesures préventives ont été constatés. Back-ups absents ou incomplets, mises à jour erratiques, segmentation de réseau insuffisante ou inexistante, réaction tardive après les premières alertes… Beaucoup de dégâts auraient pu être évités en appliquant les bonnes pratiques de base.

Pour Maersk comme pour British Airway, la facture totale n’est pas encore connue car les clients ont introduit des demandes d’indemnisation qui doivent encore être arbitrées par la justice.

L’évaluation des risques restera encore un sujet ardu pour les “cyber assureurs”, tant il est difficile de mesurer précisément le niveau d’un risque et son impact potentiel. Des outils comme MONARC peuvent aider. Pour les PME la cyber assurance n’est désormais plus un luxe, mais une protection indispensable pour ne pas devoir assumer seules les dégâts d’un cyber-incident. Sans oublier que la cyber assurance a également des vertus préventives…
  • Share with care: