Assurances contre les cyber-risques : le scepticisme règne en maître
Faute de confiance dans les assureurs, les entreprises restent vulnérables aux conséquences d’attaques informatiques.
Faute de confiance dans les assureurs, les entreprises restent vulnérables aux conséquences d’attaques informatiques, indique une étude signée KPMG.
De fait, près de 80 % des organisations membres de l’Institut international de l’intégrité de l’information (I-4) de KPMG n’ont pas d’assurance couvrant les risques dits cyber.
Principale raison à cela : la croyance voulant que les assureurs ne paieront pas en cas de demande d’indemnisation. Et ceci bien que 79 % des organisations étudiées pensent que les menaces de sécurité vont probablement augmenter au cours de l’année à venir, et que 74 % d’entre elles se sentent en priorité concernées par le crime organisé et les activités soutenues par des états.
Et parmi les membres de l’I-4 ayant souscrit une telle assurance, 48 % pensent que celle-ci ne couvrira de toutes façons pas leurs besoins éventuels… A la tête de l’I-4, Mark Waghorne estime « inquiétant de voir que tant d’entreprises préfèrent prendre le risque de ne pas avoir d’assurance pour se protéger d’une menace qu’elles considèrent comme bien réelle ». Et d’ajouter qu’il est « décevant que ces assurances soient perçues comme n’offrant que peu de confort à ceux qui les souscrivent ».
Une demi-surprise toutefois, alors qu’un tiers des entreprises étudiées considère que le marché de la cyberassurance n’est pas encore mûr.
D’ailleurs, Waghorne estime que les assureurs vont devoir proposer des packages plus complets pour convaincre la communauté qu’ils peuvent et vont les protéger contre les pertes induites par la cybercriminalité. Il relève toutefois que la disponibilité d’offres spécialisées, dédiées au risque cyber a considérablement progressé au cours des 12 derniers mois : « cela indique que les organisations qui ont évité, par le passé, de souscrire à une assurance pour ces risques devraient peut-être revoir leur position ».
Le casse-tête de l’évaluation du risque
Alex Fidgen, directeur de MWR InfoSecurity, relève toutefois un point délicat pour les assurances : selon lui, elles n’ont pas les compétences nécessaires à l’estimation précise du risque information et doivent pour cela s’appuyer sur des organisations tierces, spécialisées dans ces évaluations hautement techniques par nature.
Pour Fidgen, l’industrie dans son ensemble doit prendre une approche de la cyberdéfense basée sur les actifs plutôt qu’une approche de type « couverture », ce qui aiderait les organisations à mieux distribuer leurs investissements.
Les experts de la sécurité soulignent d’ailleurs régulièrement que les entreprises n’ont pas intérêt à se reposer sur l’assurance : certaines pertes, comme les attentes à la réputation, ne sont pas aisément indemnisables. Surtout, les entreprises devraient appréhender de manière globale la réaction aux incidents de sécurité en considérant les individus, les processus, et les composants technologiques à leur disposition.
Reste que, selon Fidgen, « les compagnies d’assurances peineront toujours à estimer l’efficacité de ces défenses sans des services spécialisé. Peut-être devraient-elles s’organiser pour définir une approche standard qu’elles pourraient commencer à utiliser pour évaluer le risque avant de définir des primes appropriées. Et une entreprises ayant réussi à réduire son niveau de risque pourrait alors demander une révision de sa prime à la baisse ».
Adapté de l’anglais.
Pour approfondir sur Réglementations et Souveraineté
-
Étude LUCY : un marché de l’assurance cyber mature… pour les grandes entreprises.
-
Ransomware : Bercy veut conditionner l’indemnisation de la rançon au dépôt de plainte
-
L’AMRAE appelle à stabiliser et renforcer l’attractivité de la cyberassurance
-
Cyberassurance : des origines d’une crise… aux pistes pour la surmonter