Posted 18 janvier 2018 in Blog, Sécurité.

Selon le rapport Aon 2018 sur les prédictions en matière de cybersécurité, l’augmentation de la cybermenace et le renforcement des réglementations en matière de cybersécurité vont faire exploser la croissance des polices de cyberassurance cette année.

En 2017, les entreprises ont subi d’importants dommages financiers à la suite des cyberattaques. Selon NetDiligence, dont les données reposent sur les déclarations réelles de sinistres en cyberassurance, le coût moyen d’une cyberattaque était de 349 000 $ pour les petites entreprises et atteignait 5,9 millions $ pour les grandes entreprises.

Le constat dressé par les conseils d’administration et les cadres de l’impact financier des cyberattaques amène de très nombreuses entreprises à se tourner vers la cyberassurance. En 2016, Aon a placé quelque 35 % des primes de cyberassurance dans le monde pour un montant de près de 450 millions $, qui devrait dépasser 750 millions $ d’ici 2020. Selon la compagnie d’assurances Allianz, les primes mondiales de cyberassurance devraient atteindre les 20 milliards $ d’ici 2025, contre 3 à 4 milliards actuellement.

Il est clair que le marché de la cyberassurance est en pleine expansion. Mais les organisations sont-elles prêtes à affronter ce nouveau risque imprévisible ? L’enquête 2017 du Ponemon Institute a révélé que, si 87 % des entreprises considèrent la cyberresponsabilité comme l’un de leurs dix premiers risques commerciaux, seules 24 % reconnaissent avoir une cyberassurance de professionnels de la gestion des risques. Parmi les principales raisons invoquées pour ne pas prendre une assurance en cybersécurité, les entreprises citaient une couverture inadéquate.

En 2016, Aon a placé quelque 35 % des primes de cyberassurance dans le monde pour un montant de près de 450 millions $, qui devrait dépasser 750 millions $ d’ici 2020.

La réponse au cyberrisque n’est pas comparable à une assurance voiture ou habitation, où les risques sont connus et les produits n’ont pas tellement évolué. La situation est plus complexe et potentiellement plus dangereuse que les risques traditionnels. Cela contraint les compagnies d’assurance et leurs clients à trouver une approche fiable de la cyberassurance.

« Le cyberrisque doit être abordé tant en termes de prévention que de protection pour pouvoir être pris en charge par le marché des assurances. En fait, les organismes assureurs ne peuvent pas accepter de couvrir des risques qui ne sont pas correctement évalués. C’est pourquoi il est fondamental d’élaborer des approches qui aident à adopter une couverture d’assurance basée sur le risque », a déclaré Romina Calciago, conseillère en chef d’Aon Global Risk.

Responsabilité et imputabilité

Pour obtenir une couverture en cyberassurance, les organisations devront démontrer qu’elles ont adopté les meilleures pratiques pour protéger leurs clients et leurs employés. C’est tout particulièrement vrai avec l’entrée en vigueur en mai du Règlement général sur la protection des données (RGPD) de l’Union européenne, qui expose les auteurs d’infractions à des amendes de 20 millions d’euros et plus.

Les entreprises devront aussi changer leur approche de la gestion du cyberrisque, en mettant l’accent sur la responsabilité, pour identifier les menaces et leurs besoins en assurances. « Le cyberrisque n’est plus un problème informatique : c’est devenu un problème d’entreprise. Par conséquent, la haute direction de nos clients a besoin d’une vision appropriée portant sur une évaluation claire, globale et quantitative de leur exposition au cyberrisque », a expliqué Gabriele Ratti, directrice générale adjointe d’Aon Hewitt Srl.

Pour correctement atténuer le cyberrisque, les entreprises doivent procéder à un diagnostic technique approfondi pour déterminer l’impact réaliste sur leurs activités. Des outils de cyberdiagnostic, tels que Starlings Soar, permettent une quantification détaillée et factuelle de l’exposition au cyberrisque de l’infrastructure commerciale et technique d’une entreprise. Cette approche permet de visualiser des cas très tangibles et des mesures concrètes que la haute direction peut prendre pour optimiser le profil de risque de l’entreprise.