le paradoxe de l’évolution de la cyber-assurance

Victime et coupable, le paradoxe de l’évolution de la cyber-assurance


La protection du patrimoine informationnel de l’entreprise revêt une dimension capitale : il apparaît plus que jamais primordial que les entreprises s'informent, s'organisent, pour dmieux réagir aux problématiques de cyber-Risque et de cyber-attaque.

Que nous voulions bien l’admettre ou pas, dès que nous nous connectons, que ce soit depuis notre domicile ou depuis notre lieu de travail, nous devenons vulnérables. En fait, en nous connectant à Internet, nous devenons membres d’une cyber-communauté. L’inter-connectivité qu’apporte Internet, les réseaux sociaux ou encore le Cloud, crée une proximité effrayante entre les utilisateurs. Un collègue peut se transformer en un hacker voulant réellement nuire à son entreprise, ou en un gamin voulant s’amuser.
La sécurité, placebo de la confiance ou différenciateur marketing…
Au cours des trente dernières années, l’industrie informatique a connu une brutale transition en passant des réseaux fermés de gros calculateurs aux réseaux ouverts, en passant par l’externalisation, l’infogérance, le Big Data et maintenant le Cloud. Et nul ne peut le nier ! La sécurité ne peut plus être associée uniquement à la confiance.
La stratégie de sécurité doit être alignée sur les objectifs et les orientations du cœur business de l’entreprise.
Les entreprises doivent démystifier les défis de sécurité auxquels elles doivent faire face afin de rétablir cette confiance et ne plus se poser en victime de cyber-attaques.


Dans le contexte de mondialisation actuelle, la compétition entre les entreprises est rude. La sécurité n’apparaît plus seulement comme un moyen de fournir un service, une protection ou comme un différenciateur marketing mais comme un moyen d’engendrer une défiance.
Cette défiance se traduit par une augmentation de la cyber-criminalité.

En 2014, le CLUSIF [1] a dressé le panorama de la sécurité et mis en évidence une recrudescence des cyber-attaques. On y retrouve des attaques de types : waterholing, attaques destructives, incapacitantes et métiers.
Cette tendance se confirme d’année en année et si ces incidents relatifs à la sécurité sont issus pour la plupart d’attaques hostiles (4 % pour la France, 30 % pour les Etats-Unis, 11 % pour le Royaume-Uni) [2], elles ont un impact significatif sur la confiance des différents acteurs (clients, actionnaires, fournisseurs…).
Bâtir une gouvernance de sécurité qui soit globale et cohérente est probablement l’une des tâches les plus complexes incombant aux R.S.S.I dans une entreprise. Or, une fois cette démarche établie, et une fois les risques identifiés [3](liés au système d’information interne, aux collaborateurs, aux contrats avec des sous-traitants, à la chaîne d’approvisionnement, aux technologies de rupture, aux infrastructures et aux chocs externes), que peut-on faire pour couvrir les frais d’un désastre informatique dû à une quelconque cyber-attaque ?
Les cyber-risques gardent cette particularité immuable qui semble les rendre inassurables par les méthodes classiques du monde des assurances.


Depuis une dizaine d’années et grâce à des pionniers comme le courtier Marsh mais aussi des organismes comme le CLUSIF, le monde de l’assurance a su prendre la mesure du marché de la cyber-assurance [4], proposant une gamme de produits permettant d’assurer les biens immatériels des entreprises comme leur patrimoine informationnel, essence même de leur cœur business.
Si certains assureurs proposent aujourd’hui des contrats aux entreprises pour les garantir dans une certaine mesure contre les cyber-attaques, il n’en reste pas moins selon Jeff Moghrabi-ACE Group que « le risque lié à la cyber-criminalité sera demain pour les assureurs, ce que sont les catastrophes naturelles aujourd’hui » un nouveau défi à relever.
Dans ces conditions comment mesurer ce risque et à qui imputer la faute ?
La mesure du cyber-risque et sa capacité à être pris en charge par les assureurs peut se découper en deux phases :

L’audit technique

Cette première phase doit permettre de mesurer le niveau de maturité sécuritaire du système d’information. Elle reste un axe binaire et doit être pondérée en fonction de certains paramètres afin de permettre au futur souscripteur d’éviter de passer d’un statut de potentielle victime à celui de coupable, à l’instar de la jurisprudence de l’affaire Sarenza [5] (extrait : « Le Tribunal ne retiendra finalement que la responsabilité des sociétés Vivaki pour faute d’imprudence. Le Tribunal prononcera une condamnation de 100 000 euros. Cette condamnation sera ramenée in fine à 70 000 euros, le Tribunal considérant que la Société Sarenza devait supporter à hauteur de 30 % son propre dommage du fait de l’insuffisance de sa gestion des identifiants d’accès à sa base. »)

La revue contractuelle.

Cette seconde phase doit permettre de garantir la chaîne des processus et des engagements contractuels alignés sur les enjeux des entreprises. D’ailleurs l’émergence du Cloud dans ce domaine a changé la donne dans la définition des responsabilités des parties notamment par le transfert de responsabilité sur le domaine de la sécurité (fournisseurs d’accès, hébergeur, infogérance, concepteur de site, etc…). Cette démultiplication des acteurs du Cloud a considérablement complexifiée cette revue.
Une fois ces deux phases réalisées, définissant le niveau de maturité sécuritaire de l’entreprise et son exposition, les choses se compliquent car il faut pouvoir établir un chiffrage afin de couvrir les préjudices que l’entreprise pourrait subir (pertes financières dues à l’interruption, dégradation de l’activité de l’entreprise ou encore la perte de confiance).
L’objectif est de déterminer la probabilité d’apparition des cyber-sinistres et de s’assurer que les responsabilités de chacun soient clairement identifiées afin d’établir l’imputabilité de la faute en cas d’incident de sécurité (ex : perte de données, perte de confidentialité, etc…)
D’ailleurs, ce travail trouve un écho favorable auprès de la commission européenne. Si l’on se réfère aux ambitions de ce projet de règlement européen sur les données à caractère personnel, il permettra de répondre notamment à ces deux enjeux : technologique et juridique.
Ce texte devrait déboucher sur des éléments concrets en apportant une sécurité juridique accrue aux entreprises et aux personnes concernées.[6] Ce projet devrait permettre ainsi aux acteurs de la cyber-assurance de mieux appréhender et de mieux qualifier ce nouveau segment.
Quel pari faire sur l’avenir de la cyber-assurance ?
Les quelques annonces de partenariat entre ESN, en tant qu’experts techniques, et Assureurs [7] préfigurent-elles du futur duo gagnant ?
Une question importante demeure pourtant en suspens : comment une entreprise qui travaille avec une E.S.N reconnue du marché de la sécurité, pour améliorer la sécurité de son S.I. et qui par ailleurs souscrit un contrat contre les cyber-risques avec une compagnie d’assurance ayant un partenariat avec cette même E.S.N pourra mettre en avant la crédibilité de cette E.S.N en cas de cyber-attaque engendrant un cyber-sinistre ?
Ne faudrait-il pas un acteur non-étatique qui puisse faire preuve d’objectivité à l’instar des agences de notations financières pour garantir l’expertise des sinistres ?

Marc Cierpisz, Security Practice Manager Econocom-Osiatis

PONEMON-2014

 

BONUS:


[1] http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-Panorama-Cybercriminalite-annee-2013.pdf
[2] Source RSA 2013
[3] http://www.argusdelassurance.com/institutions/les-risques-cyber-pourraient-provoquer-un-choc-mondial-etude-zurich.76562
[4] http://www.argusdelassurance.com/risk-management/cybercriminalite-entreprises-garanties-un-risque-qui-prend-de-l-assurance.64353
[5] http://www.village-justice.com/articles/Affaire-Sarenza-Jonathan-autres,14896.html
[6] http://www.linkipit.com/?p=1197
[7] http://blog.trendmicro.fr/bientot-la-cyber-assurance-en-france/

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CGI et Aon s’associent pour fournir des services d’évaluation des risques d’assurance aux entreprises finlandaises

CGI et Aon s’associent pour fournir des services d’évaluation des risques d’assurance aux entreprises finlandaises

(Source Communication Corporate) Helsinki (Finlande), 3 septembre 2014 CGI (NYSE : GIB) (TSX : GIB.A) a annoncé aujourd’hui qu’elle unissait ses forces à celle d’Aon, entreprise experte en assurance, en vue de fournir des services d’évaluation des risques de cyberassurance dans toute la Finlande.

La cyberassurance permet aux organisations d’assurer leur précieux capital intellectuel et les aide à mieux se protéger des risques d’entreprise et d’atteinte à la réputation. L’actif assuré consiste généralement en un système de contrôle essentiel qui, si paralysé, peut causer des dommages importants à l’entreprise. La cyberassurance couvre également les pertes et dommages liés à l’espionnage industriel, lequel peut survenir lorsqu’un tiers obtient un accès non autorisé à des plans d’affaires ou à des résultats de recherche confidentiels.

« La cyberassurance est de plus en plus répandue en...

...

Pour en savoir plus et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire887 Euros* au lieu de 1199,00Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 

BONUS: 

 À propos de CGI: Fondé en 1976, Groupe CGI inc. est la cinquième plus importante entreprise indépendante de services en technologies de l'information et en gestion des processus d'affaires au monde. Grâce à ses quelque 68 000 professionnels, CGI offre un portefeuille complet de services, y compris des services-conseils stratégiques en informatique et en management, des services d'intégration de systèmes, de développement et de maintenance d'applications informatiques, de gestion d'infrastructures technologiques ainsi qu'une vaste gamme de solutions exclusives à des milliers de clients à l'échelle mondiale à partir de ses bureaux et centres mondiaux de prestation de services dans les Amériques, en Europe et en Asie-Pacifique. CGI génère des revenus annuels de plus de 10 milliards de dollars canadiens et la valeur de son carnet de commandes est d’environ 19 milliards de dollars canadiens. Les actions de CGI sont inscrites à la Bourse de Toronto (GIB.A) ainsi qu'à la Bourse de New York (GIB). www.cgi.com.

À propos d’Aon: Aon plc (NYSE : AON) est le principal fournisseur mondial de services de gestion des risques, de courtage d'assurance et de réassurance, et de solutions ressources humaines et d'impartition. Par l'entremise de plus de 66 000 employés dans le monde, Aon s'unit pour aider ses clients dans plus de 120 pays à atteindre les résultats escomptés au moyen de solutions novatrices et efficaces visant la gestion des risques et la productivité des effectifs, ainsi que de ses ressources mondiales de premier ordre et de ses compétences techniques. Aon a été nommée à plusieurs reprises comme meilleur courtier au monde, meilleur intermédiaire en assurance, meilleur intermédiaire en réassurance, meilleur gestionnaire des captives et meilleur cabinet conseil en avantages sociaux par de multiples sources dans l'industrie. Pour en savoir plus au sujet d'Aon, visitez www.aon.com.

Cyberisques.com-7-IT-Risk-incontournables 

31% of companies have cybersecurity insurance policies, while 39% planned to purchase a policy in the future

31% of companies have cybersecurity insurance policies, while 39% planned to purchase a policy in the future

 


Source : C. M. MATTHEWS Wall Street Journal

A new study found that 31% of companies have cybersecurity insurance policies, while 39% planned to purchase a policy in the future. The study, released Wednesday by information services group ExperianEXPGY -0.69% plc, underscores the quick development of the nascent industry, which has picked up speed in recent years as companies wake up to a pervasive cyber threat.
“There is a definite expansion of cyber insurance, and growing interest in it,” said Michael Bruemmer, vice president at Experian Data Breach Resolution.
Mr. Bruemmer said that an increasing amount of his business now comes from insurers that pay for a company’s costs incurred during a breach. According to Mr. Bruemmer, 30% of his business now comes from insurers, which marks a 50% increase over the last 18 months.
According to the study, which was conducted by the Ponemon Institute, a data privacy and cybersecurity research firm, 70% of companies that have experienced a data breach said that experience increased their interest in cyber insurance. That is, perhaps, not surprising, as breaches can be costly affairs.
Past research by the Ponemon Institute found that the average “operational” cost of data breach in the U.S. is approximately $5 million. That study considered four cost categories: detection or discovery; escalation, or reporting of the breach to appropriate personnel; notification of those whose personal information was breached; and after-the-fact response to minimize harm to victims, such as credit monitoring, issuing of new cards or accounts, etc.
Wednesday’s study found that many policies cover expenses incurred during and after a breach. According to the study, companies said 86% of policies covered notification costs, 73% covered legal defense costs, 64% covered forensics and investigative costs, and 48% covered replacement of lost or damage equipment. Not everything was always covered though, as companies said only 30% of policies covered third-party liability, 30% covered communications costs to regulators, and 8% covered brand damages.
Most companies also seemed to think that the policies were properly priced, as 62% said the cost of premiums is fair. According to the study, 44% said they would be extremely likely to recommend their insurance provider to a friend or colleague.
But the study also found that some companies are still skeptical about cyber insurance, with 33% saying their company has no interest in purchasing a policy at this time. For those who have not purchased a policy, the biggest barrier was cost: 52% said premiums are too expensive. The study also found that 44% of companies that do not have policies cite as their reason the fact that yhe policies contain too many exclusions, restrictions and uninsurable risks.
Ponemon drew on 638 surveys completed by risk management professionals across multiple business sectors that have considered or adopted cyber insurance for the study.

  

Fraude "au Président"

Fraude au Président

 

La "fraude au Président" se développe en Europe en particulier. Selon AIG*, ce phénomène prend une ampleur inédite en France et touche des entreprises de toutes tailles avec un préjudice financier estimé à 200 M€ depuis 36 mois. 

Selon l'Office central pour la répression de la grande délinquance, quelque 700 faits ou tentatives d'escroquerie de ce type ont ainsi été recensés entre 2010 et 2014. Le cabinet KPMG en a ainsi été victime, pour un préjudice de 7,6 millions d'euros, comme l'a révélé La Tribune en juin.

 

Ce sujet a fait l'objet récemment d'une table-ronde organisée par AIG avec des experts du monde juridique et policier.

EY-2014

 

 Source EY 2014

 

BONUS:

 

http://www.latribune.fr/entreprises-finance/industrie/automobile/20141104trib9ba89e245/michelin-victime-d-une-escroquerie-a-1-6-million-d-euros.html

 

http://www.aigassurance.fr/Chartis/internet/FR/fr/Strategic%20Risk%20-%20Guide-do_tcm3941-559907.pdf

 

*AIG est le nom commercial du réseau mondial d’assurance dommages et responsabilité de American International Group, Inc. (AIG, NYSE ), l’un des leaders mondiaux de l’assurance dommages et responsabilités, présent dans plus de 130 pays et juridictions.

 

IDEES: Loic Guezo / Trend Micro: "bientot la cyber-assurance en France"

Depuis 2012, déclarée en son temps “Année de la fuite de données” par IBM, la sensibilité des acteurs économiques au Cyber-Risque semblerait avoir enfin progressé puisque ce domaine devient assurable.

 Quel est le déclencheur ? Les confrontations répétées avec les diffférentes formes de cyber-attaques et leurs corollaires (fuite de données, impact sur la production, perte de confiance, atteinte à l’image de marque, … ), les demandes répétées des différentes parties prenantes pour la sécurisation du cyber-espace marchand (monde bancaire et financier, acteurs de l’ecommerce, instances de régulation diverses …) ou les solicitations des agences nationales (comme l’ANSSI pour la France) ?

Lire la suite...

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires