L’augmentation des coûts des attaques de cybersécurité ainsi que du nombre d’incidents signalés suscite une demande accrue pour l’assurance de la cybersécurité, ou cyberassurance. On note également un nombre croissant d’exclusions liées à la cybersécurité dans les domaines de l’assurance de la responsabilité civile des administrateurs et des dirigeants ainsi que de l’assurance de la responsabilité civile professionnelle. Cette nouvelle donne s’inscrit dans un contexte de réglementation et de législation accrues, que l’on pense au règlement général sur la protection des données ou au projet de directive sur la sécurité des réseaux et de l’information, deux initiatives européennes qui visent à inciter les organisations à envisager la cybersécurité plus sérieusement.
À cela s’ajoute la numérisation accrue du monde actuel : nombreux sont les services (des secteurs des finances, comme de la santé, de l’énergie et de la fiscalité, entre autres) étant dorénavant proposés de façon numérique.
Il est possible de souscrire à une police de cyberassurance pour couvrir les coûts en plusieurs domaines, y compris : gestion de crise, des médias et des incidents, correction technique, frais juridiques, gestion des appels, alertes sur les personnes fichées, enquêtes sur les infractions et autres pertes résultant d’une cyberattaque.
Le développement du marché de l’assurance responsabilité en matière de cybersécurité offre des occasions au secteur de l’assurance, lequel pourrait jouer un rôle de plus en plus important et générer des changements dans le domaine de la cybersécurité. Les assureurs aident les organisations à quantifier les répercussions d’une atteinte à la cybersécurité (que les entreprises sont généralement réfractaires à révéler), ce qui augmente la capacité de celles-ci à comprendre l’importance des répercussions financières potentielles et leur permet de justifier l’augmentation de leurs investissements en cybersécurité.
Les risques des organisations évolueront au fil de leur maîtrise de la cybersécurité, et les assureurs devront s’adapter et créer des produits qui distingueront les clients présentant un risque moindre de ceux à risque élevé. Ce cercle vertueux créera des occasions au sein du marché de l’assurance en plus d’apporter d’importants changements dans le domaine de la cybersécurité.
Les défis propres aux cyberrisques
L’objectif de réduction des risques de cybersécurité (et des primes y étant associées) exigera des organisations qu’elles mettent en place des mécanismes efficaces pour le suivi et l’évaluation des cyberrisques de façon régulière. Ceux-ci peuvent cependant prendre de multiples formes, y compris la perte de données, l’interruption des activités, le vol de propriété intellectuelle et l’atteinte à la réputation, mais ils font également intervenir des facteurs humains. Les pirates informatiques ne cessent de faire évoluer leurs méthodes ainsi que les façons dont ils soutirent de l’argent de leurs victimes.
Par ailleurs, le profil de cyberrisque d’une organisation est tributaire de son secteur d’activité, de sa taille et de la nature de ses données stockées. Il est donc difficile de modéliser les risques et d’évaluer les répercussions potentielles d’une atteinte à la sécurité.
Une partie du défi réside dans le fait que les cyberrisques sont différents des risques que les assureurs et les réassureurs avaient à garantir jusqu’à présent. Il existe un nombre limité de données sur la portée et l’impact financier des attaques, et celles-ci sont rarement communiquées. Les facteurs de risque ne sont pas bien compris non plus et certains sont imprévisibles. Il peut suffire d’une déclaration publique sujette à controverse émise par un chef de la direction pour qu’un groupe d’hacktivistes décide de prendre l’entreprise pour cible en désactivant ses systèmes. De tels événements peuvent survenir en tout temps, mais sont très difficiles à prévoir.
Les assureurs peuvent estimer les coûts probables de la remise en service des systèmes, mais il n’existe pas suffisamment de données historiques pour évaluer les pertes potentielles résultant des indemnités versées aux clients, aux fournisseurs et aux partenaires. Certains corollaires, tels que l’atteinte à la réputation, demeurent parfaitement tangibles, mais sont difficilement quantifiables.
Pour ces raisons, plusieurs fournisseurs d’assurance hésitent à adopter la cyberassurance et les risques potentiels inhérents qu’elle comporte. D’autres assureurs assument ces risquent et pénètrent activement le marché en vue de le dominer. Au fur de l’évolution de ce marché, l’industrie devra s’attaquer à ce défi, établir des mécanismes efficaces pour le suivi et l’évaluation des cyberrisques et concevoir des produits de cyberassurance qui offrent une valeur ajoutée aux clients, sans représenter de risque inutile pour les assureurs.
Établissement de normes et définition des contrôles
Face à ces menaces complexes, les fournisseurs d’assurance doivent travailler en étroite collaboration avec des experts en sécurité pour évaluer les facteurs de risque et mettre en place des politiques de cyberrisques efficaces. Une des façons simples de réduire les risques pour l’assureur consiste à demander aux nouveaux clients de fournir la preuve de leur état de préparation et des mesures mises en place au sein de leur organisation pour se protéger contre les cybermenaces. À mesure que le marché gagne en maturité, nous pouvons nous attendre à ce que des normes minimales soient établies pour déterminer si des organisations assurées représentent un risque acceptable. Il reste à voir s’il faudra avoir recours aux normes actuelles ou si de nouvelles lignes directrices verront le jour.
Lorsque la cyberassurance deviendra monnaie courante, plusieurs assureurs pourront décider d’exiger l’évaluation d’un expert avant d’émettre une police d’assurance importante. Cette tendance risque d’apporter des changements majeurs aux modèles de distribution de la cyberassurance. Ainsi, les experts indépendants de cybersécurité pourront devenir des revendeurs de cyberassurance et favoriser une collaboration plus étroite et un meilleur partage d’information entre les professionnels des deux secteurs. Cette tendance risque d’être plus marquée au sein des organisations présentant un taux de risque élevé. Les plus petites entreprises n’auront qu’à se conformer aux normes de sécurités propres à leur secteur d’activité (l’équivalent de l’obligation d’obtenir un permis de conduire avant de pouvoir assurer sa voiture).
À terme, la cyberassurance pourrait devenir un important catalyseur de changement, susciter une prise de conscience des cyberrisques et promouvoir une meilleure compréhension des menaces et des mesures préventives au sein des conseils d’administration et de direction. Cette sensibilisation contribuera à renforcer les pratiques de cybersécurité à tous les échelons d’une organisation, ou à tout le moins, à attirer l’attention de la direction sur les enjeux de sécurité, y compris leurs répercussions sur les primes de cyberassurance et la valeur des cyberrisques à assurer.
Un article similaire a été publié dans Insurance Day.