La cyberassurance en vaut-elle la peine ? (2e partie)
L’immaturité des produits et un manque de standardisation soulèvent des questions critiques comme l’évaluation précise de la posture de sécurité des entreprises ou encore la gestion des responsabilités.
La question de l’identification des parties responsables reste ouverte en matière de risque informatique. Le ministère américaine de la sécurité intérieure (DHS) s’intéresse à la question du partage des responsabilités, notamment entre la victime et les tiers affectés par l’incident. Depuis la fin 2012, trois ateliers ont été consacrés au sujet. Le premier a rassemblé des assureurs, des responsables de la gestion du risque, des experts des technologies de l’information et de la cybersécurité, des universitaires, des spécialistes des sciences sociales et des opérateurs d’infrastructures critiques. A qui « appartient » le risque était l’une des questions soulevées.
[Lire la première partie de cet article]
L’assurance hors opérateurs d’infrastructures critiques – où la crainte d’une « ouragan cyber » a conduit certains à suggérer que le gouvernement fédéral américain se positionne comme réassureur pour une période limitée, comme il l’a fait avec la loi sur l’assurance du risque terrorisme de 2002 – n’est pas moins compliquée.
Un juge de New York a tranché, en février dernier, en faveur de deux assureurs spécialistes du risque informatique – Mitsui Sumitomo Insurance et Zurich American Insurance. Les deux compagnies n’avaient pas à payer pour couvrir la défense de Sony Corp. of America et Sony Computer Entertainment of America dans le cadre de sa police de responsabilité civile. Selon la décision du juge, la fuite de données survenue avec les services de Sony ne constituait en effet pas une publication orale ou écrite violant les droits d’individus à la vie privée parce que les informations confidentielles ont été « publiées » par des tiers – dans ce cas, par les pirates à l’origine de l’attaque informatique massive sur le PlayStation Network en avril 2011 et qui a conduit à la divulgation de données personnelles de millions de joueurs et d’utilisateurs des services de Sony Entertainment. Les entreprises qui essaient d’étendre leurs polices de responsabilité civile pour inclure des protections relatives au risque informatique et à leur responsabilité risquent d’être confrontées à une bataille difficile.
L’assurance couvre généralement les coûts liés à la réponse à un incident ; au recours aux services d’avocats ; au respect des exigences légales ; et à l’enquête informatique. Cette dernière pouvant elle-même s’avérer très onéreuse, selon Geisiger. « Les attaquants ont-ils eu accès à des informations privées ? Quels contrôles ont été mis en échec ? Ces informations peuvent être soumises à la compagnie d’assurance afin d’obtenir une indemnisation », explique-t-il. Un domaine clé qui n’est pas ouvert est le vol de propriété intellectuelle et de secrets commerciaux.
NetDiligence opère un eRisk Hub qui est utilisé sous licence par de nombreux assureurs. Ceux-ci offrent ses ressources en complément de leurs polices. Après un incident de sécurité, les clients entreprises ont immédiatement accès aux meilleurs enquêteurs et avocats spécialistes de la confidentialité et de la cybersécurité. « Ces ‘coaches’ interviennent sur un ou deux incidents par semaine », indique Geisiger.
Les courtiers et représentants des assurances ont également renforcé leur connaissance des polices d’assurance pour le risque informatique au cours des dernières années. « Les bons courtiers obtiennent l’abandon de nombreuses exclusions. Ils peuvent obtenir cela parce que le marché est encore facile », explique Geisiger.
Des couvertures adéquates ?
Les compagnies d’assurance peuvent offrir un guichet unique pour la notification d’incidents, la gestion de crise et les relations publiques après un sinistre. Mais de nombreuses entreprises ne sont pas conscientes des limites de la couverture de leurs polices d’assurance – souvent sur des questions réglementaires ou de protection juridique – avant de formuler une première demande d’indemnisation. Ces limites affectent la valeur réelle de la couverture. « Généralement, lorsque les clients étudient cela, ils décident de ne pas souscrire », relève Wheeler. Gartner observe généralement des polices d’assurance couvrant de 5 à 15 M$, avec des primes annuelles de l’ordre de 10 000 $ à 35 000 $ par million couvert. « Je n’ai pas vu beaucoup de cas au-delà de 100 M$ de couverture cumulée », souligne Wheeler.
Les organisations doivent être attentives aux informations qu’elles fournissent dans leurs dossiers préalables à la souscription. « Cela devient un élément central de leur police », explique-t-il. « Lorsqu’une demande d’indemnisation survient… si l’assurance trouve suspecte une information figurant dans ce dossier… elle l’utilisera pour ne pas verser d’indemnisation ou, pire, rendre caduque la couverture dans son ensemble. »
Dès lors, les entreprises devraient faire examiner de très près toutes les conditions d’assurance par leurs responsables de la gestion du risque, de la sécurité informatique, et leur conseil juridique, avant toute souscription. « Ces conditions sont complexes, agrémentées de multiples définitions, et il faut être prudent quant aux exclusions », explique Geisiger, relevant que certaines polices peuvent ne coûter que 5 000 $ pour une couverture limitée.
Primes élevées et questions relatives aux indemnisations effectivement versées sont d’ailleurs les principales préoccupations de ceux qui ne sont pas assurés. Moins d’un tiers des répondants à un sondage Ponemon – représentant de multiples industries –sont assurés pour le risque informatique. Et 57 % de ceux qui ne sont pas assurés entendent y remédier. Pour les autres, primes (52 % des sondés) et exclusions (44 %) justifient de faire l’impasse.
Etapes suivantes
En définitive, comment savoir si l’investissement dans une assurance contre le risque informatique doit faire partie de la stratégie de sécurité IT de son entreprise ? Pour Wheeler, il convient de commencer par investir dans un programme de sécurité robuste et de compter dessus comme sa propre assurance. « Au-delà de cela, vous pouvez vous tourner vers une cyberassurance pour obtenir un transfert de risque secondaire dans le cas de pertes catastrophiques. » Certaines entreprises voient en outre de la valeur dans les services offerts, tels que la gestion de crise ou l’assistance à la notification d’incidents.
Les RSSI devraient se former aux produits de cyberassurance et à leurs limites. Ils devraient également se tourner vers leurs responsables de la gestion du risque chargés des échanges avec les courtiers, afin de mesurer leurs connaissances relatives à ces produits et pour déterminer si l’entreprise devrait envisager ou non une couverture de son risque informatique, selon Gartner.
Mais même si l’intérêt pour ces produits est important, le marché reste immature. « La cyberassurance va continuer de se développer comme une industrie artisanale tant qu’il n’y aura pas de standardisation dans les produits et les polices », estime Wheeler. « Et celle-ci ne surviendra qu’avec un encouragement ou une pression des pouvoirs publics. »
Les questions de risque informatique et de responsabilité font l’objet de débats parlementaires houleux outre-Atlantique. Pour autant, Wheeler estime qu’il faudra encore attendre 3 à 5 ans avant que n’émerge un début de standardisation.
Une forme de cyberassurance a toutefois été proposée comme encouragement à suivre le framework de cybersécurité publié en février dernier par le NIST américain : « cela pourrait faire avancer le marché », juge Wheeler. AIG a ainsi étendu ses polices d’assurance CyberEdge PC en avril afin d’inclure les dégâts matériels et les blessures corporelles, conformément aux lignes directrices du framework de l’organisme de standardisation.
Reste une perception déjà positive : 62 % des responsables de la gestion du risque sondés par le Ponemon ont indiqué que leurs polices d’assurance contre le risque informatique ont amélioré la capacité de leur entreprise à faire face à un incident de sécurité.