Gajus - Fotolia
Quand la cyberassurance se fait prescripteur
Le courtier en assurances Marsh vient de présenter, dans le cadre de son programme Cyber Catalyst, une liste de 17 produits et services de sécurité informatique dont le déploiement est susceptible de donner droit à des conditions assouplies.
C’était il y a bientôt quatre ans : Raytheon-Websense, qui allait se muer un plus tard en Forcepoint, indiquait s’attendre à ce que les exigences du monde de l’assurance poussent les entreprises à adopter des pratiques de sécurité plus rigoureuses.
« Les entreprises vont devoir mieux comprendre ce qui est attendu d’elles afin d’être couvertes pour les risques informatiques », estimait ainsi l’analyste sécurité Carl Leonard, chez Raytheon-Websense. Pour lui, « de nombreuses entreprises sont susceptibles de découvrir qu’elles ne sont pas en position de force pour montrer qu’elles ont fait tout ce que leurs assureurs leur demandaient pour lutter contre une attaque ».
Pour Raytheon-Websense, les demandes des assureurs étaient appelées à influencer aussi fortement le comportement des entreprises que les contraintes réglementaires. L’idée était simple : pour maintenir la rentabilité de leurs offres, les assureurs devaient chercher à obtenir autant d’informations que possible sur les menaces réelles, tout en développant des conditions à minima pour couvrir le risque qu’elles représentent.
Depuis, les offres d’assurance cyber se sont multipliées, de même que les initiatives en faveur de la notation du risque. Rares sont encore toutefois celles combinant évaluation du risque, prescription forte, et assurance. Mais cela pourrait bien ne pas durer.
Si les opérateurs d’importance vitale (OIV) et ceux de services essentiels (OSE) sont contraints à la mise œuvre de certaines pratiques et de certains produits et services labélisés, sur certains périmètres critiques, ce n’est pas le cas des autres organisations. Du moins pour le moment. Car Marsh vient de faire un premier pas dans cette direction.
Le courtier en assurances a lancé, en début d’année, le programme Cyber Catalyst. Dans le cadre de celui-ci, il indique avoir évalué « plus de 150 solutions de cybersécurité », en deux phases, pour en retenir 17 à ce jour, dont il estime qu’elles « ont un impact significatif sur le risque cyber ». Dans la liste des heureux élus, on retrouve Aruba, Crowdstrike, Digital Guardian, FireEye, Forescout, HPE, KnowBe4, RSA, Trustwave, ou encore Zingbox, notamment.
Marsh explique « les assureurs participants attendront des organisations [candidates à l’assurance] qu’elles mettent en œuvre les produits ou services désignés par Cyber Catalyst d’une certaine manière ». Pas question, donc, de faire n’importe quoi. Pas question non plus d’attendre une ristourne systématique. Avec prudence, Marsh indique que les bons élèves « pourraient faire l’objet de conditions améliorées, sur des polices d’assurance cyber négociées individuellement, avec les assureurs participants ». Aujourd’hui, le courtier fait état d’Allianz, Axis, Axa XL, Beazley, CFC, Munich Re, Sompo International, et Zurich Amérique du Nord.
Récemment, Christian Mumenthaler, directeur général de Swiss Re, soulignait les défis associés à la couverture des risques cyber, jusqu’à parler à nos confrères des Echos de « risque extrêmement complexe […] très élevé, qui peut toucher tout le monde en même temps partout dans le monde ». Déjà en 2017, au sujet de WannaCry, Lucien Mounier, de Beazley, le soulignait : « ça aurait pu être pire ». Et de reconnaître la dimension potentiellement systémique du risque.
L’intention de Marsh peut donc apparaître empreinte d’une légitimité certaine. Mais quid de la mise en pratique ? Là, les avis apparaissent pour le moins réservés. L’expert Phil Huggins s’interroge sur la méthode d’évaluation, suspectant une approche bien plus théorique que pratique, compte tenu des délais, quand d’autres regrettent que la liste complète des candidats ne soit pas connue. Garin Pace, souscripteur, préfèrerait des recommandations de processus complets pour répondre à des menaces précises. Et de douter qu’une liste comme celle établie par Marsh aide véritablement, à choisir une solution comme à la dimensionner correctement.
Le consultant Peter H. Gregory n’est guère plus enthousiaste. Pour lui, une telle approche pourrait « se terminer avec un standard d’un consortium de l’industrie de l’assurance, pas très éloigné de PCI-DSS, rigide et prescriptif, mais insuffisant pour [contribuer à] une véritable réduction du risque ». Derek Schatz, analyste chez Accenture, est encore plus négatif, considérant que la liste actuelle est bullshit : « nombre de ces outils ne sont même pas les meilleurs de leurs catégories ».
Et Jeremiah Grossman, Pdg de Bit Discovery, d’entrevoir un risque : « que le directeur financier, qui achète la police d’assurance d’entreprise, ne laisse pas le RSSI acheter quoi que ce soit de contraire aux recommandations du courtier ». Et cela pour éviter tout risque de refus d’indemnisation en cas de sinistre.