Jimaan Sane, souscripteur Cyber Risk chez Beazley « Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans. » 

Cyber Expert : Cyberisques NEWS

 

Jimaan Sane, souscripteur chez Beazley et spécialiste du cyber-risque

« Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans. » 

 

Bonjour Jimaan, sur le texte européen propre a la protection et à la souverainneté des données, (« RGPD »), qu'en retiens-tu ?

4 % du CA a concurrence de 100 ou 20 millions d'euros, c'est un point a noter mais ce n est pas le seul ; Par exemple, des tiers comme les hébergeurs peuvent également être poursuivis. On se rapproche de ce qui se fait aux US. Responsable des données et transporteur / hébergeur se trouvent responsables autant que le client.

Cote cyber assureur ça change quoi ?

On assiste a un transfert de responsabilité déjà vu aux US . Ce qui s'est traduit par des extensions cyber dans les contrats classiques d’une part et l’adoption de polices spécifiques dans leur contrat RC avec les extensions cyber (poursuite de la CNIL) assurabilité des amendes.. frais de notification… poursuite des hébergeurs… Les incidents peuvent se traiter en amont avec plan PRA cyber par exemple et en aval avec une Police post incident. Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans.

W3FORUM-2016

 Source: World Economic Forum® Report 2016

 

Il existe toutefois des différences culturelles et réglementaires comme les contrats RC aux US très différents dans leurs usages des RC européens ?

Oui mais les compagnies se sont adaptées. Aux US, les frais de defense, action de masse… coûtent tres chers. Mais les garanties sont a peu près les mêmes.

 

Quelles différence alors entre les polices cyber aux US et en Europe ?

Le contexte est différent : en Europe car la culture du litige n'est pas la même le coût d'un incident n'est pas identique Fréquence des poursuites, montant des amendes, etc...

 

Dans les affaires récentes de cyber-attaques bon nombre de procès apparaissent entre les souscripteurs autrement dit les compagnies attaquées et leurs compagnies d'assurance. Pourquoi selon Toi ?

Il est important de déterminer en amont ce que l’on souhaite couvrir et ensuite le quantifier afin de s’assurer que la couverture sera en adéquation avec l’exposition. C’est un travail qui se fait souvent avec des polices de plus en plus spécifiques aux besoins de clients particuliers.

 

Si une baisse du chiffre d'affaires est constatée suite a une cyber-attaque, comment l'imputée et la quantifiée quand on s'appelle Beazley ?

Ceci se fait au cas par cas, et en analysant la baisse d’activité pendant la période d’interruption et de rétablissement. Il faut également tenir compte des impacts de l’atteinte à l’image qui peuvent également s’avérer conséquents. Ces derniers ne sont pas toujours faciles à quantifier en amont.

 

Le marché de l'assurance est descriptif pas prédictif : comment définir la cyber assurance dans ce concept ?

C'est le problème. Est ce que les assureurs classiques ont suffisamment de capacité ?

 

Intention-de-souscription-2015

 

 

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Comment analyses-tu l'indemnisation des nouveaux risques cyber propres aux infrastructures critiques de type ICS / Scada? Faut il mettre en place des mécanismes spécifiques de mutualisation ?

Si l'on prend le cas des actes de terrorisme ou des catastrophes naturelles, des solutions de mutualisation existent déjà en France. En termes de capacité au sens assureurs le marché Français doit atteindre 300 400 millions avec plusieurs compagnies en cyber. Est ce suffisant pour un acteur tel que EDF par exemple ? En cas de réponse négative il faut créer un pool qui peut compléter. Les catnat (cf section BONUS) sont gérés par une entité étatique la CCR qui encaisse 12 % des primes payées en France sur les catastrophes naturelles. Via cet acteur l'Etat intervient et met 50 % dans les indemnisations. Un mécanisme identique pourrait se mettre en place pour des cyber-catastrophes.

 

Objets connectés et cyber- assurance, un nouveau couple pour le business des assureurs selon Toi ?

Les responsabilités sont partagées avec les IoT. C est une problématique qui évolue via l' évolution techno. Mais des primes sont à l'étude.

 

Pourquoi es-tu chez Beazley ? C'est mieux payé ? Le portefeuille cyber dispose d'une offre intéressante ?

Ce qui intéresse les clients c'est l'accompagnement au-delà de l'offre ; Les assureurs deviennent des prestataires. Que fait-on ? Est une de nos questions que nous nous posons avec nos clients et pas seulement combien çà coûte. Notre offre évolue en fonction de l'évolution des incidents. Nous assureurs nous sommes a la jonction de tous les métiers comme accompagnateur et coordinateur. Sur 3000 incidents 80 % c'est de l'accompagnement et 20 % de la RC a l'échelle mondiale.

 

As tu un exemple d'un impact qui coûte cher suite a une cyberattaque ?

Talk talk a subi une attaque en 2015. La CEO décide d'intervenir en TV au JT national le lendemain. Parfois il vaut mieux attendre car en se précipitant elle n'a pas peu répondre à une question du journaliste sur le nombre exact de victimes. En expliquant qu'elle avait 5 millions de clients l'opinion a cru qu'il avait 5 millions de victimes. Or après enquête il n'y a eu que 100 000 victimes. Il faut une réponse maîtrisée même si les conséquences pour les actionnaires sont souvent immédiates.

 

Beazley en France combien de contrats cyber ?

En 12 mois nous avons multiplié par 3 nos souscriptions aupres des PMI. Certains grands comptes veulent s'autoassurer aussi ; Quelle est la meilleure façon de traiter le risque ? L assurance est une des réponses.

 

En 2016 quelles évolutions vois-tu pour le marché ?

La réglementation va aider a la croissance si une obligation d'assurer les notifications intervient. En termes de business c'est difficile a estimer.

Propos recueillis par @jpbichard

 

Extrait du rapport 2016: « The Global State of Information Security Survey 2016 » réalisée par PwC en collaboration
avec CIO et CSO pour le courtier Verspieren

Si les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015* (+51% sur un
an vs +38% en moyenne mondiale), très peu d’entre elles ont initié une démarche d’audit en vue de souscrire
un contrat d’assurance. Au niveau mondial, les primes d’assurances contre les cyber-attaques souscrites
en 2014 représentent 2,5 milliards de dollars, dont 2,2 milliards pour les seuls Etats-Unis et 165 millions
pour l’ensemble de l’Europe. Conscientes du risque financier que font peser sur elles les cyber attaques, les
entreprises européennes devraient largement contribuer au doublement estimé du marché à horizon 2020.
La protection des données, au cœur des débats du prochain Forum international de la cybersécurité (Lille, les

25 et 26 janvier 2016), représente l’enjeu de sécurité majeur des entreprises, qui n’en sont paradoxalement
pas conscientes. Ainsi en France, le coût moyen d’une fuite était de 122 par donnée volée en 2013 (coût lié
à la réparation des dommages pour l’entreprise et pour son client, aux frais de justice, aux amendes de la
CNIL…). « Pour avoir un ordre d’idée, il faut savoir que 550 millions de données personnelles ont été dérobées
aux Etats-Unis en 2013. Avec un tel chiffre, un rapide calcul permet d’imaginer facilement l’écrasement
financier auquel doit faire face une entreprise victime de vols de données », explique Yves Fournier, Directeur
de clientèle Grand compte chez Verspieren. Selon le rapport Verizon 2015, la compromission de données
représente un coût variable entre 2 et 5 millions de dollars dans 95% des cas, certaines allant jusqu’à 200
millions de dollars.


 

 

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

 

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS :

http://www.cyberisques.com/fr/mots-cles-8/482-cyberisques-news-cyberinsurance-notes-2016

 

https://www.beazley.com/specialty_lines/professional_liability/tmb/beazley_breach_response.html

 http://www.catnat.net/cartographie/catnat-maps

https://youtu.be/1cCLt1g0i58?list=PL7m903CwFUgnntt1XT21ISGmKh624RTsd

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires