La cyberassurance en vaut-elle la peine ? (1e partie)
L’immaturité des produits et un manque de standardisation soulèvent des questions critiques comme l’évaluation précise de la posture de sécurité des entreprises ou encore la gestion des responsabilités.
Alors qu’assureurs ayant pignon sur rue et jeunes pousses se précipitent pour vendre des produits de cyberassurance aux entreprises de toutes tailles, nombre de ces dernières peinent à trouver les bonnes polices en raison d’un manque de standardisation des produits et de la complexité à établir une couverture adéquate.
Les incidents de sécurité hautement médiatisés et la prise de conscience de l’impact financier potentiel de tels incidents pourraient changer la donne. En outre, des cadres légaux plus stricts quant à la notification des incidents, les encouragements des gouvernements et l’adoption du Cloud ont renforcé l’intérêt pour l’assurance contre les risques informatiques.
« Le potentiel est important. Il y a donc beaucoup d’acteurs sur le marché de l’assurance chassant les mêmes clients, » relève Mark Greisiger, président de NetDiligence, une entreprise spécialisée dans l’évaluation du risque informatique pour assureurs et courtiers. « Vous trouverez des agents prêts à casser les prix sur les primes et à assurer des clients qui ne disposent pas des meilleurs contrôles de sécurité, simplement pour ajouter à leurs revenus pour le trimestre en cours. »
Des produits et des polices immatures
Comment les assureurs comparent-ils les risques entre entreprises d’une même industrie alors que tant se refusent à partager leurs données d’incidents de sécurité ? « Clairement, les informations sur les pertes de données sont très difficiles à obtenir, et la plupart des compagnies d’assurances disposent de très peu de données actuarielles sur lesquelles adosser leurs décisions. Parce que les entreprises rechignent à dévoiler des informations détaillées sur les incidents dont elles ont été victimes », explique John Wheeler, directeur de recherche chez Gartner en charge de la gestion du risque et de la sécurité. « Même ceux qui sont assurés rechignent à formuler des demandes d’indemnisation pour éviter de communiquer les informations et parce qu’ils craignent pour leur réputation. »
Le manque de données actuarielles, et le fait que les entreprises disposent souvent de plus d’informations sur les scénarios de risque que les assureurs, pourraient conduire à des sélections inappropriées – les entreprises souscrivant les produits d’assurance étant celles au profil de risque le plus élevé – et à des phénomènes de sur-assurance, avec des entreprises souscrivant des polices d’assurance auprès de plusieurs compagnies.
Utilisée pour transférer le risque et protéger les entreprises contre les pertes de chiffre d’affaires, la cyberassurance est généralement gérée par les directeurs financiers et les managers responsables de la gestion des risques. L’implication des professionnels de la sécurité dans les décisions relatives à la couverture est souvent limitée, malgré la nature critique des études préalables sur la posture de sécurité utilisées les assurances pour définir les polices et traiter les demandes d’indemnisation.
Mais les outils d’analyse et de modélisation des gestionnaires de risques pourraient aider à la décision d’achat. Le courtier Marsh a présenté Cyber DEAL, en juillet dernier, pour aider les clients à déterminer leurs besoins en assurance. Ceux-ci sont calculés en fonction de la probabilité, sur un an, d’un incident de sécurité impliquant des données personnelles, sa sévérité et le coût par incident. Cyber DEAL utilise des informations historiques aux Etats-Unis remontant à 2005, selon le courtier, ainsi que d’autres sources, dont sa base de données propriétaire.
Des évaluations développées en interne
Nombre d’assureurs de renom exigent en outre une étude de la sécurité et du risque. « Mais dans 99 % des cas, elles ne demandent pas d’évaluation sur site, » explique Greisiger, soulignant que l’industrie de l’assurance estime que recourir à des tests d’intrusion serait aller trop loin.
Les évaluations sur site surviennent souvent lorsqu’un client le demande, pour sa gestion interne du risque. « Dans de nombreux cas, les gestionnaires internes du risque ou le directeur financier n’ont aucune idée de ce que font leurs DSI », soulève Greisiger. « Dès lors, cette évaluation relève réellement de l’approche de la gestion du risque que l’entreprise cherche à engager. Le rapport ne sert ensuite qu’à aider à définir les besoins en assurance. »
NetDiligence, qui compte parmi ses clients Ace, AIG, ou encore SafeOnline, procède généralement à des évaluations à distance, grâce à des formulaires en ligne que les candidats entreprises doivent remplir, détaillant leurs pratiques de sécurité. En plus d’entretiens, NetDiligence réalise des scans de réseau à la recherche de vulnérabilités pour s’assurer que les correctifs disponibles sont bien appliqués aux systèmes et que les défenses peuvent protéger contre au moins 6 000 vulnérabilités communes.
Les assureurs s’intéressent en outre aux stratégies et aux procédures de sécurité en place. Ils veulent également savoir si une entreprise dispose ou non des pratiques et des contrôles de sécurité appropriés compte tenu de sa taille et de son secteur d’activité, afin de contenir les pertes de manière continue. « Et c’est une chose très subjective », relève Geisiger. « Cela ne compte pas pour eux, que vous ayez ou non une personne dédiée à la sécurité, parce que les petites et moyennes entreprises… n’ont pas le budget pour cela. »
Le chiffrement de bout-en-bout est un sujet majeur chez les assureurs : les organisations qui chiffrent leurs données partout où elles résident sont susceptibles d’être protégées de conséquences légales en cas d’incident de sécurité. Mais moins de 5 % des entreprises avec lesquelles NetDiligence travaille ont recours au chiffrement dans toute leur organisation – e-mails, bases de données, ordinateurs portables, services cloud, etc.
Une implication limitée
La demande en matière de cyberassurance s’intensifie après un incident de sécurité, selon une étude de l’institut Ponemon. Dans le cadre de celle-ci, 70 % des gestionnaires du risque sondés ont connu un incident de sécurité au cours des 24 derniers mois. Leur intérêt pour ce type d’assurance s’est alors aiguisé.
Mais les professionnels de la sécurité IT n’ont « une implication significative » dans les décisions de cyberassurance que dans 32 % des cas, selon une étude d’août 2013 sponsorisée par Experian. Dans 33 % des cas, l’implication serait inexistante.
Et selon Gartner, ne pas impliquer les RSSI dans ce type de décisions n’est pas une bonne idée. « Je pense qu’ils doivent être impliqués en tout premier chef, tout particulièrement parce qu’il s’agit d’un marché émergent », explique Wheeler, soulignant son manque de maturité. « Si les équipes de sécurité ne sont pas impliquées pour fournir la meilleure description de leurs propres pratiques de sécurité, la police est susceptible d’être souscrite avec des informations erronées. Et c’est sa propre valeur qui est alors suspecte. »
Mais les RSSI risquent de ne pas comprendre toutes les ramifications de certaines exclusions. Pour autant, selon Wheeler, « il n’est pas possible qu’une entreprise prenne une décision véritablement éclairée sans eux autour de la table ».
De nombreuses entreprises ont en place de bonnes pratiques de sécurité. Mais cela ne suffit pas à empêcher les incidents de sécurité. « De nombreux RSSI estiment que l’assurance est inutile parce qu’ils assurent les arrières de l’entreprise, qu’ils font un bon travail pour la sécuriser, et qu’il n’arrivera rien », relève Geisiger. « Pour de nombreuses organisations, c’est exact. Mais la question n’est pas celle de la fréquence des incidents. C’est celle de leur sévérité. Quelle sera l’ampleur du préjudice ? Serez-vous en mesure de circonscrire l’incident pour qu’il ne soit qu’une nuisance et non pas une catastrophe ? »
Les produits d’assurance offrent une couverture pour les pertes directes résultant d’intrusions sur le réseau, de violations de sécurité, de pertes de revenus ou d’interruption d’activité, pour la gestion de crise, la notification d’incident, et même la surveillance de transactions frauduleuses pour les victimes potentielles, et la mise en place de centres d’appels.
La protection de tiers peut inclure la responsabilité et les dommages infligés à des systèmes informatiques tiers. La plupart des entreprises souscrivent les deux couvertures, selon Gartner.
Adapté de l'anglais par la rédaction.