Les révélations de piratage se multiplient, les demandes d’assurance aussi
Le premier semestre 2011 aura été marqué par un nombre de révélations de piratages de grande importance, à commencer par ceux de Sony et de RSA, ou encore de Citigroup. Une multiplication des affaires qui conduit à une croissance apparemment très significative de l’intérêt des entreprises pour l’assurance contre le risque de fuites de données sensibles.
Il y a eu RSA, Sony, Lockheed Martin, des administrations publiques et des instances internationales, et maintenant Citigroup, qui vient de reconnaître que l’attaque dont il a été victime en mai a affecté plus de 360 000 de ses clients en Amérique du Nord. Et ce n’est pas anodin. En mai dernier, Patrick Pouillot, Directeur de Souscription Assurances des Systèmes d’Information pour l’Europe Continentale chez ACE Europe, évoquait dans nos colonnes le coût, pour Sony, des attaques sur ses plateformes en ligne PlayStation Network et Sony Online Entertainment : «il est probable que les assureurs ne puissent pas totalement assumer.» Pour lui, se posait d’ailleurs la simple question de savoir jusqu’à quel point Sony était couvert : «on s’assure pour quelque chose que l’on redoute, pour des scénarios de risque bien cartographiés.» Bref, des risques que l’on considère comme plausibles à un instant T et parfois en décalage complet avec «la réalité de l’occurrence ».
Des demandes de plus en plus nombreuses
Et il semble bien que les révélations de piratage du premier semestre aient provoqué un électrochoc. Selon Reuters, ces affaires conduisent aujourd’hui les entreprises à chercher des options de couverture du risque de fuites de données sensibles «à hauteur de centaines de millions de dollars, alors que de nombreuses assurances peuvent encore les laisser s'exposer à des demandes» d’indemnisation. Les entreprises traitant d’importants volumes de données personnelles chercheraient ainsi à se protéger du risque de procédures civiles, d’éventuelles condamnations de gouvernements et de régulateurs. Selon Kevin Kalinich, co-directeur national du groupe Risque Professionnel du courtier en assurances Aon, interrogé par nos confrères, «dès que survient une fuite de données catastrophique... oui, les téléphones se mettent à sonner ». D’après lui, si un peu plus des fuites de données induisaient des coûts supérieurs à 20 M$, de grandes entreprises chercheraient à s’assurer à hauteur de 200 M$, avec une franchise de 25 M$.
La culture de la sécurité pourra enfin s’étendre
Patrick Pouillot ne contredit pas son confrères : «oui, c’est étonnant de voir à quel point ces événements récents ont sensibilisé les grands comptes. Je viens même de recevoir une importante demande, d’un grand groupe international, ce matin, juste avant que vous ne m’appeliez. Il cherche à obtenir une couverture, pour l’Europe, pour un montant cinq fois supérieur à celle qu’il a déjà, aux Etats-Unis.» Pour lui, la situation est claire, du côté de ses clients, «ça bouge très vite; c’est même un peu brutal ». Mais la question de savoir si le marché saura répondre à la demande reste totalement d’actualité : «Qui est en mesure de se positionner pour répondre à une demande de couverture à hauteur de 200 M$ », s’interroge-t-il. Pour lui, c’est maintenant au marché de l’assurance des risques informatiques de s’adapter. Ce qu’il fera à coup sûr, mais pas du jour au lendemain. Et ce ne sera de toutes façons pas sans impact sur les entreprises.
«Il y aura probablement de nouvelles exigences.» Pas sur le plan technique où les exigences sont déjà fortes mais plus sur le plan culturel : «il faudra qu’il y ait de la formation, une véritable culture du risque dans l’entreprise.» Et de citer l’exemple d’une banque au Luxembourg : «ils ont interdit la réception et l’envoi de pièces jointes par e-mail.» Mais c’est surtout sur la formation des personnels que l’effort devra être accentué : «les chartes d’utilisation d’Internet dans les entreprises, j’en ai examinées plusieurs. Globalement, c’est du grand n’importe quoi. La tendance, demain, sera au renforcement des règles de non-diffusion des documents. Des règles sur lesquelles on pourra auditer les entreprises.» Et, même, pour lui, les régulateurs pourraient s’emparer du sujet : «il y aura peut-être un volet données privées ajouté à l’évaluation des risques opérationnels.»