Cybersécurité: 54% des chefs d'entreprises EU responsables

Communication Corporate: spetembre 2016

 

 

                       Cybersécurité: 54% des chefs d'entreprises EU responsables

 

 

 

La cyber-sécurité est désormais considérée comme une responsabilité relevant des directions, puisque 54 % des chefs d’entreprises européennes en assument la responsabilité, selon une nouvelle étude du Lloyd’s, le marché de l’assurance et de la réassurance spécialisées. Nombre d’entreprises européennes continuent cependant à sous-estimer les répercussions potentielles d’un cyber-évènement, puisque seuls 13 % d’entre elles estiment qu’une cyber-attaque leur ferait subir des pertes commerciales.

Intitulée « Faire face au défi de la cyber-sécurité », l’étude du Lloyd’s, qui visait à décrypter l’attitude des chefs d’entreprises européennes vis-à-vis des cyber-risques a également révélé que, bien que 92 % des entreprises aient subi une cyber-intrusion sous une forme ou une autre au cours des cinq dernières années, seuls 42 % d’entre elles s’inquiètent de la possible récurrence d’un tel incident par la suite.

 

 

 

Selon Inga Beale, directrice générale du Lloyd’s, les résultats de l’étude devraient servir de sonnette d’alarme, car elle indique que les entreprises semblent encore trop négligentes dans leur façon de se préparer à un cyber-incident et sur les conséquences d’un tel évènement sur leur activité.

 

 

Lioyds-Info-1

 

 

Elle explique : « Il est rassurant de constater que la responsabilité associée au cyber-risque échoit aux plus hautes fonctions organisationnelles. Néanmoins, il est évident que les entreprises sont trop nombreuses à ne pas estimer que les dangers liés à une cyber-intrusion puissent impacter leur activité. Je crains que nous vivions dans un monde où il est impossible d’empêcher la survenance de cyber-intrusions. Il faut donc savoir gérer ces cyber-intrusions, et prendre les mesures qui s’imposent pour protéger son entreprise, et par-dessus tout, ses clients. L’actualité récente l’a montré : une réputation durement acquise peut être ruinée du jour au lendemain si les mesures adéquates n’ont pas été mises en place ».

 

 

 

Inga Beale explique que l’assurance peut dans un tel contexte se révéler d’une aide précieuse pour les entreprises, non seulement en leur fournissant une couverture des pertes financières, mais également en les aidant à satisfaire aux obligations règlementaires et à faire face aux éventuelles conséquences en matière d’activité et de réputation.

 

 

 

« Avec les nouveaux règlements européens, les entreprises devront faire preuve d’une meilleure réactivité face aux cyber-incidents que par le passé. Les compagnies d’assurance offrent bien plus qu’une simple couverture des pertes de revenus : elles proposent aux entreprises un service complet pour les aider à respecter la réglementation et à protéger leurs clients et leur réputation ».

Avec le futur règlement général sur la protection des données (RGPD), les entreprises qui gèrent des données sur les citoyens de l’Union européenne seront tenues de signaler les atteintes à la sécurité des données dans un délai de 72 heures à compter de leur survenance, et s’exposeront à des amendes pouvant aller jusqu’à 20 millions d’euros en cas de manquement à leur obligation de sécurisation des données. Par ailleurs, il est inquiétant de constater qu’en dépit des enjeux, 57 % des chefs d’entreprise reconnaissent ne pas comprendre pleinement les éventuelles répercussions du RGPD sur leur entreprise.

 

 

Guy-Antoine de la Rochefoucauld, Directeur Général du Lloyd’s of London en France, a déclaré : « Une grande majorité des dirigeants des entreprises françaises sont bien conscients que le risque cyber peut aussi les toucher et les exemples récents ne manquent pas, y compris en France. Dans ce contexte, la nouvelle directive européenne, qui sera bientôt applicable, renforcera le besoin d’être encore plus réactif en cas d’incidents. Cependant, en France, d’après l’étude publiée par le Lloyd’s, 54% admettent ne pas avoir pris connaissance de ces futures obligations européennes. L’assurance est là pour apporter des réponses à ces questions qui peuvent être critiques pour la pérennité d’une entreprise ».

Les principales conclusions de l’étude sont les suivantes :

 

  • 92 % des entreprises ont fait l’objet d’une cyber-intrusion au cours des cinq dernières années.
  • Cependant, seuls 42 % d’entre elles s’inquiètent de la possible récurrence d’un tel incident.
  • Bien que 97 % des sondés aient entendu parler du RGPD, seuls 7 % indiquent avoir une compréhension « approfondie » de ses tenants et aboutissants. 57 % affirment connaître « un peu » ou « pas du tout » le sujet.
  • Connaissance des répercussions que le RGPD pourrait avoir sur l’entreprise : enquête règlementaire (64 %), pénalités financières (58 %), impact sur le cours de l’action (57 %) et réputation (52 %). Seuls 13 % des entreprises estiment qu’une atteinte à la sécurité des données risquerait de leur faire perdre des clients.
  • Principales menaces internes susceptibles de donner lieu à une atteinte à la sécurité des données : perte de documents papier ou d’appareils non électroniques (42 %), diffusion volontaire de l’information par un initié (42 %), erreur humaine ou divulgation non volontaire (41 %), perte, vol ou mise au rebut de matériel (41 %).
  • Principales menaces externes susceptibles de donner lieu à une atteinte à la sécurité des données : piratage par appât du gain (51 %), piratage pour des motifs politiques (46 %), piratage par un concurrent (41 %), hameçonnage (39 %), rançongiciel (37 %), logiciel malveillant (32 %).

Les principaux points à retenir pour les entreprises françaises sont les suivants :

  • 90 % des entreprises françaises ont subi une atteinte à la sécurité des données au cours des cinq dernières années.
  • Seuls 52 % des entreprises françaises sont inquiètes à l’idée de subir une fuite de données dans le futur.
  • 45 % des chefs d’entreprise français dirigent les décisions concernant la protection contre les atteintes à la sécurité des données, ou la planification de ladite protection.
  • Seuls 24 % des entreprises françaises croient qu’une atteinte à la sécurité des données risquerait de leur faire perdre des clients.
  • 54 % des entreprises françaises reconnaissent ne pas très bien comprendre le futur règlement européen.
  • 55 % des entreprises françaises ne savent pas qu’il existe des produits de cyber-assurance visant à fournir une couverture et des services aux entreprises qui subissent une atteinte à la sécurité des données.
  • Les entreprises françaises estiment que les quatre principales menaces susceptibles de donner lieu à une atteinte à la sécurité des données sont le piratage par appât du gain (68 %), le piratage par un concurrent (61 %), la diffusion volontaire de l’information par un initié (52 %) et les logiciels malveillants (52 %)

* Étude menée auprès de 350 décideurs de haut rang de toute l’Europe, dont 31 de France

 

 

Lire aussi: 

 

http://cyberisques.com/mots-cles-5/571-etude-deloitte-2016-enjeux-cyber-2016-la-face-cachee-de-la-cybersecurite

 

 

BONUS: 

Le Lloyd’s est le seul marché de l’assurance et de la réassurance spécialisées au monde à proposer une combinaison unique d’expertise et de talent, soutenue par de solides notations financières et des agréments internationaux. Il est souvent le premier à couvrir les risques nouveaux, inhabituels ou complexes, et ce, en proposant des solutions d’assurance novatrices pour les risques locaux, transfrontaliers et internationaux. Sa force réside dans la diversité et l’expertise de ses courtiers et agents de gestion, soutenus par des capitaux provenant du monde entier. En 2016, plus de 80 syndicats souscrivent des polices d’assurance et de réassurance au Lloyd’s, dans tous les secteurs d’activité, et dans plus de 200 pays et territoires dans le monde. Le Lloyd’s est règlementé par l’Autorité de Réglementation Prudentielle (PRA) et l’Autorité de Conduite Financière britannique (FCA).

 

 

Black Hat 2016 Las Vegas: HTTP/2, la nouvelle version du protocole HTTP déjà vulnérable selon Imperva

Communication corporate:

 

 

HTTP/2 : Le rapport Hacker Intelligence Initiative d’Imperva révèle quatre failles majeures dans la dernière version du protocole sous-jacent d’Internet

 

 

 

HTTP2

 

 

 

 

LAS VEGAS, Nevada, le 10 août 2016 –Imperva, Inc. (NYSE : IMPV), spécialiste de la protection des données et des applications critiques sur site et dans le Cloud, vient de publier son nouveau rapport Hacker Intelligence Initiative (HII), intitulé « HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol », dans le cadre de la conférence Black Hat USA 2016. Les chercheurs du centre de défense d’Imperva y recensent quatre vulnérabilités majeures détectées dans HTTP/2, la nouvelle version du protocole HTTP, l’une des principales composantes d’Internet.

Ces menaces sont particulièrement préoccupantes, étant donné l’adoption rapide du protocole HTTP/2. Selon W3Techs, 8,7 % de tous les sites Web, soit environ 85 millions de sites, utilisent HTTP/2, un chiffre qui a presque quadruplé par rapport aux 2,3 % seulement enregistrés en décembre 2015.

HTTP/2 introduit de nouveaux mécanismes qui augmentent effectivement la surface d’attaque des infrastructures Web critiques ; celles-ci deviennent alors vulnérables à de nouveaux types d’attaques. Les chercheurs du centre de défense d’Imperva ont étudié de manière approfondie les implémentations serveur du protocole HTTP/2 des éditeurs Apache, Microsoft, NGINX, Jetty et nghttp2. L’équipe a découvert des vulnérabilités exploitables dans l’ensemble des principaux mécanismes de HTTP/2 qu’elle a examinés, dont deux similaires à des vulnérabilités bien connues et largement exploitées dans HTTP/1.x. Il est probable que d’autres implémentations du protocole HTTP/2 soient également touchées par ces vulnérabilités.

 

 

« Les améliorations générales apportées aux performances Web et les perfectionnements spécifiques aux applications mobiles introduits dans le protocole HTTP/2 représentent une aubaine potentielle pour les utilisateurs d’Internet », explique Amichai Shulman, co-fondateur et directeur technique d’Imperva. « Toutefois, lorsqu’une grande quantité de nouveaux codes est très rapidement lâchée dans la nature, cela fournit aux attaquants une excellente opportunité. Bien qu’il soit inquiétant de retrouver dans HTTP/2 des menaces connues de HTTP 1.x, ce n’est guère surprenant. Comme pour toute nouvelle technologie, il est important que les entreprises exercent des contrôles préalables et mettent en œuvre des mesures de sauvegarde afin de se prémunir de l’étendue de la surface d’attaque et de protéger les données critiques et les données relatives aux consommateurs contre des cybermenaces en perpétuelle évolution. »

 

 

                Top Countries – Amount of HTTP/2 Requests (Source keycdn)

 HTTP2-2

 

 

Les quatre vecteurs d’attaques majeurs découverts par les chercheurs d’Imperva sont les suivants1 :

- Slow Read – L’attaque fait appel à un client malveillant pour lire les réponses très lentement ; elle est identique à la célèbre attaque par déni de service distribué (DDoS) Slowloris qui toucha les principales sociétés de traitement des cartes de crédit en 2010. Il est intéressant de souligner que, bien que les attaques Slow Read aient été amplement étudiées dans l’écosystème HTTP/1.x, elles se révèlent toujours efficaces, cette fois-ci dans la couche applicative des implémentations de HTTP/2. Le centre de défense d’Imperva a identifié des variantes de cette vulnérabilité sur les serveurs Web les plus populaires, notamment Apache, IIS, Jetty, NGINX, ou encore nghttp2.

- HPACK Bomb – Cette attaque de la couche de compression s’apparente à une bombe de décompression. L’attaquant élabore de petits messages apparemment innocents, qui représentent finalement plusieurs gigaoctets de données sur le serveur. Cela mobilise l’intégralité des ressources mémoire du serveur, le rendant indisponible.

- Dependency Cycle Attack – L’attaque tire parti des mécanismes de contrôle des flux introduits dans HTTP/2 pour l’optimisation du réseau. Le client malveillant forge des requêtes qui induisent un cycle de dépendances ; le serveur, en tentant de traiter ces dernières, est alors entraîné de force dans une boucle infinie.

- Stream Multiplexing Abuse – L’attaquant utilise les failles existant dans l’implémentation par les serveurs de la fonctionnalité de multiplexage des flux, dans le but de faire planter le serveur. Cela finit par générer un déni de service à l’égard des utilisateurs légitimes.

Bien que les nouvelles technologies soient une source de progrès, elles sont également porteuses de nouveaux risques. Lors de l’adoption d’une technologie telle que le protocole HTTP/2, les sociétés doivent impérativement demeurer vigilantes quant à la possibilité de nouvelles zones d’exposition et d’attaque. L’implémentation d’un pare-feu d’applications Web (WAF) doté de capacités d’application de correctifs virtuels peut aider les entreprises à protéger leurs données et leurs applications critiques contre les cyberattaques.

Pour accéder à un exemplaire du rapport HII sur le protocole HTTP/2, consultez la page bit.ly/2auulkd, ou pour découvrir l’infographie, rendez-vous à l’adresse bit.ly/2amIuRH.

1)     Conformément aux pratiques en vigueur dans le secteur, le centre de défense d’Imperva a collaboré avec les éditeurs identifiés afin de garantir que les vulnérabilités soient corrigées avant la publication du rapport.

 

 

 

BONUS: 

 

http://www.imperva.com/docs/Imperva_HII_HTTP2.pdf

https://www.keycdn.com/blog/http2-statistics/

 

 

 

Paul Sterckx, AIG: "Aux US, le niveau de primes au total pour l'ensemble des acteurs de la cyber-assurance est estimé à 2.2 milliards de dollars"

Cyber expert / entretien Cyberisques NEWS Jean Philippe Bichard

 

Paul Sterckx*, AIG en charge des risques financiers: risques cyber, dirgeants, fusion acquisition..

 

Cyberisques-AIG-Scénario-resilience-2015

 

Quel regard portez vous sur l'année écoulée pour le marché des primes attribuées aux sinistres cyber ?

Nous avons constaté cette année passée une forte augmentation de l'intérêt que portent les dirigeants d'entreprises au sujet des cyber-risques. Cela se traduit par un flux d'études très important et un portefeuille français qui a doublé en 2015 malgré des niveaux de primes et de franchises qui restent très faibles par rapport aux marchés anglo-saxons. Il existe d'autres indicateurs intéressants de la croissance de ce marché tels que la hausse des capacités souscrites par les entreprises : jusqu'à 150M€ aujourd'hui contre 25M€ il y a deux ans.

 

Tirez-vous des avantages suite à l'émergence de nouveaux marchés liés aux cyber-risques industriels en environnement ICS Scada, les données privées qui transitent via des objets connectés peu sécurisés ou bien encore des attaques sur des médias comme TV5 ?

Nous constatons en effet une augmentation de maturité au risque cyber des industriels qui se traduit de plus en plus régulièrement par la souscription d'un contrat cyber adapté. De la même manière, les entreprises de médias ont réagi aux attaques contre TV5 Monde et s'intéressent elles aussi de plus en plus aux divers outils de management des cyber-risques dont fait partie l'assurance. Enfin, l'ère des objets connectés constitue une réelle opportunité de croissance ainsi qu'un défi pour les assureurs, que ce soit en termes de cyber-risques (quand on pense au volume de données collectées par ces terminaux) ou de responsabilité civile.

 

Et les IoT ?

Pour les objets connectés, le puzzle se met en place. Nous avons une forte croissance des « devices » mobiles combinée avec des prix des capteurs en baisse, pièces essentielles à la plupart des objets connectés. On en trouve à moins de 1 dollar aujourd'hui comparé avec un prix entre 20 et 25$ pendant les années 1990. Ces objets connectés feront partie de notre vie quotidienne. Avec ces développements technologiques, il y a des problématiques juridiques et éthiques susceptibles de se poser. Les entreprises ne doivent pas méconnaître les risques inhérents à cette technologie. Il est clair que le secteur d*assurances a un rôle essentiel à jouer sur ce sujet car ce sont les assureurs multinationaux qui utilisent depuis longtemps d'énormes quantités de données (Big Data) pour comprendre et atténuer les risques.

 

Prise-de-décision-Contra-Cyber-CYBERISQUES-NEWS

Pour Vous, expert en contrats d'assurance et garanties sur les secteurs IT, les IoT sont ils synonymes de nouveaux risques assurables ?

En fait je distingue trois type de risques dans les évolutions IT : ceux liés à la violation des données propres à la vie privée, les risques de type RC liés aux nouveaux usages comme Google et ses « Google car » et enfin les risques cyber propres à la cybersécurité des SI « traditionnels ». Les préoccupations en matière de respect de la vie privée, de cyber-sécurité, de propriété et de responsabilité quant aux produits gagneront en ampleur aussi rapidement que les opportunités de l'IoT se présenteront. Si les entreprises ont intérêt à commencer de mettre en place la technologie de l'IoT pour espérer survivre à long terme, elles doivent également mettre en œuvre des stratégies tenant compte des nombreux risques associés à l'IoT.

 

Face à cette évolution, quelle(s) stratégie(s) définit AIG avec quelle valeur ajoutée voire quels éléments différenciateurs ?

Le premier point important est l'expérience d'AIG sur ce sujet : c'était AIG qui en 1998 a participé au lancement du débat sur cyber aux Etats-Unis et qui a lancé le premier produit d'assurance afin d'aider les clients.  C'est au cours de ces 17 dernières années que nous avons développé le plus grand portefeuille en cyber au monde et que nous avons acquis une forte expérience en gestion de sinistres qui nous permet d'être un acteur de référence de ce marché. Notre objectif est de fournir une solution complète de gestion des risques au travers de trois piliers : conseil et prévention, solution d'assurance et gestion de crise/sinistre avec un accent sur l'accompagnement des assurés grâce à un panel dédié.  

 

Quelles orientations se dessinent pour 2016 : Les polices de cyber-assurance auxquelles les entreprises souscrivent englobaient en 2015 en priorité la violation de données et les atteintes à la vie privée. En 2016, les grandes entreprises et leurs partenaires vont devoir de plus en plus assure une protection contre le vol de propriété intellectuelle, la cyber-extorsion, le cyber-chantage, la protection des infrastuctures critiques de type ICS / Scada...

Les polices qui existent actuellement sur le marché couvrent déjà la majorité de ces risques. Les types de sinistres que nous voyons actuellement ce sont surtout la fuite de données ainsi que des cas de cyber extorsion. Néanmoins, dans le futur, la typologie des sinistres va évidemment évoluer et par conséquent les garanties vont elles aussi se développer.     

 

Selon plusieurs études, la cybercriminalité à elle seule coûte approximativement 445 milliards de dollars par an à l'économie mondiale. Le volume annuel de ce segment, à l'échelle globale, a atteint 2 milliards de dollars en 2014. En 2025, selon un rapport récent, les coûts générés par les interruptions d'activité pourraient dépasser ceux attribués aux pertes dues spécifiquement aux violations de données. Etes vous d'accord avec cette analyse ? Quelles sont les perspectives et les chiffres avancés par AIG ?

Aujourd'hui nous voyons encore peu de sinistres liés à une interruption d'activité. Malgré tout, il est prévisible que l'augmentation de la dépendance des entreprises à leur système d'information engendre un risque élevé de subir un tel sinistre.

  

Parlons un peu business et estimations. Quels sont les chiffres clés du marché de la cyber-assurance pour 2016 ? Je pense notamment au total des primes, aux contrats signés entre grands comptes et entreprises du « middle market », du total des indemnisations versées ou de celles qui auraient dues être versées selon les assurés ...

Aux US, le niveau de primes au total pour l'ensemble des acteurs de la cyber-assurance est estimé à 2.2 milliards de dollars pour 2015. Sur les mêmes bases de calcul en Europe, nous devons avoisiner un total d'environ 200 millions d'euros, dont environ 30 millions d'euros en France.

 

Côté garanties, nous constatons qu'il y a une différence de perception du risque entre les US et l'Europe: en Europe, le marché se concentre davantage sur le volet Dommage alors qu'aux US c'est le volet RC qui s'impose.

En France, environ 20 entreprises du CAC 40 ont soit acheté une police soit sont en train d'étudier l'achat d'une garantie cyber. Quand en septembre 2012 nous avons lancé notre offre inédite sur le marché, nous étions principalement sollicités par des grandes entreprises. Nous constatons aujourd'hui une forte augmentation de la maturité aux cyber-risques de la part des PME-PMI.

@jpbichard

 *Paul Sterckx, nommé Responsable du Département Risques Financiers d'AIG enFrance

Cette nomination est effective depuis le 11 janvier 2016.

Fort de plus de 20 ans d'expérience, dont 14 années chez AIG, Paul Sterckx, 47 ans, a occupé différents postes au sein du Groupe : AIG Chypre en 2001 en qualité de Management Associate Financial Lines puis Financial Lines Manager pour la Grèce (2002), Regional Underwriting Manager Financial Lines - MEMSA et Financial Lines Manager pour le Moyen-Orient, basé à Dubaï (2005).

En 2007, il rejoint AIG Europe à Paris en tant que Regional Underwriting Manager Commercial Accounts – Financial Lines. En 2009, Paul Sterckx accède au poste de Responsable Segment Grands Comptes et Middle Market pour la France puis, en 2014, il est nommé Responsable Souscription du Département Risques Financiers France et West Zone Leader MLC.

Titulaire d'une Licence de Droit et d'un DEA en Droit International Public, Paul Sterckx a débuté sa carrière au Barreau de Louvain (Belgique) en tant qu'avocat (1994) puis a officié chez Marsh Belgique en qualité d'Account Executive FINPRO & Casualty.

Paul Sterckx reportera directement à Brian Inselberg, Head of Financial Lines, EMEA, et en matrice à Fabrice Domange, Directeur Général d'AIG en France et « Managing Director » de la zone Europe de l'Ouest (France, Belgique, Pays-Bas et Luxembourg).

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS: 

http://www.aig.com/CyberEdge_3171_417963.html

 

Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

Entretien expert cyberisques NEWS : 

Olivier de Cian, chargé de clientèle Grand compte chez Verspieren

 

Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

 

Cyber-Ass-Cyberisques-NEWS-sept-2015

 

 

 

 

Cyberisques NEWS: La loi EUR sur la protection des datas nommée RGPD va t-elle faciliter de nouveaux contrats pour les polices « cyber » ?

Le RGPD va probablement accélérer la souscription de nouveaux contrats du fait de l'obligation imposée aux entreprises de notifier les atteintes aux données personnelles.

Il est difficile de quantifier le nombre de nouveaux contrats qui seront souscrits.

Nous constatons cependant depuis l'année dernière un prise de conscience plus marquée par les entreprises notamment les ETI et PME même si le passage à l'acte reste difficile du fait de la nécessité d'allouer un budget complémentaire à la couverture de ce nouveau risque en période de ralentissement économique.

 

 

« Frais de notification » Quelles couvertures réelles sont proposées par le marché en Europe ?  

Il s'agit de prendre en charge notamment :

-       des frais permettant d'identifier les personnes concernées par l'atteinte à la donnée personnelle

-       des frais d'impression, d'envoi, de publication et de mise en place de plateforme téléphonique...

Souvenons nous que l'approche cyber varie  selon l'activité de l'assuré (industriel, retail, services...) . Certains volets de garantie sont plus importants que d'autres en fonction de leur activité.

 

 

Les polices CYBER proposées en Europe sont elles réellement distinctes de celles placées aux États-Unis ? Notons qu en 18 mois toutes les polices Européennes en matière de cyber ont été refondues.

C'est exact. Des compagnies comme AIG, BEAZLEY, ACE... ont fait évoluer leurs produits afin de tenir compte des remarques émises par les assurés et les courtiers sur les limites des premières couvertures proposées en 2012 et 2013.  Le grand intérêt des polices cyber réside dans la couverture des frais de notification, de la prise en compte des frais de défense dans le cadre d'une enquête de la CNIL, de l'assistance avec notamment un conseil juridique, l'appui d'expert informatique et de cabinets spécialisés en matière de gestion de crise et la possibilité  également de bénéficier d'extension comme la couverture de la cyber –extorsion.

 

 

Concernant les RC (Responsabilité civile) on dit souvent : si ce n'est pas exclu c'est couvert. Que proposent les acteurs de la « cyber-assurance » sur le marché EUR sachant qu'en matière de RC US et EUR ont des approches tres différentes ?

Cela se justifie par la différence de législation concernant l'atteinte aux données personnelles (obligation de notification aux USA). Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. Aujourd'hui nous sommes sur un dommage immatériel non consécutif. Les entreprises n'étaient pas réellement bénéficiaires de couvertures adaptées aux cyber-risques. Dans les esprits les PME / PMI viennent à la souscription certes sur des petites capacités en premier risque (1 millions en moyenne) mais elles y viennent ». Un effort d'explication doit être réalisé par les courtiers auprès de leurs clients pour justifier l'intérêt des couvertures cyber au regard des couvertures traditionnelles déjà existantes (Dommages aux Biens et responsabilité Civile). Si il est plus clair de justifier l'absence de garantie des Pertes d'Exploitation et des frais de reconstitution des données après une atteinte aux données dans les contrats Dommages traditionnels, il y a encore débat concernant les garanties de responsabilité Civile.

Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. On peut retrouver certaines exclusions dans les polices RC qui sont couvertes par les contrats cyber: exemple divulgations de données personnelles, de secrets professionnels (propriété intellectuelle), les dommages aux tiers suite à virus. De plus la garantie des dommages immatériels non consécutifs dans les contrats RC est souvent accordée avec des montants limités.

 

 

Selon Vous, et l'étude que vous publiez (cf BONUS) il existe un problème lié à l' évaluation des risques : les entreprises connaissent-elles réellement leur niveau de risque ? Apprécient elles réellement la valeur des et données et connaissent elles leur localisation notamment concernant les données sensibles ? 

Conscient de ce problème, Verspieren s'est associée à CGI Business Consulting et propose une aide à la cartographie et à l'identification du risque cyber pour ses clients. Pour un courtier tel que Nous, la cyber assurance doit permettre de renforcer la politique de prévention et protection dans les entreprises en matière de cyber sécurité (audit, assistance en cas de sinistre...) à l'instar de la prévention incendie.

 

 

Les cyber-assureurs peuvent parfois accompagner leurs clients, mais en pratique les premiers partenariats semblent chaotiques ? Est ce un problème de culture ?

Il est important pour les courtiers de faire preuve d'une forme d'humilité dans l'identification et la quantification du risque cyber du fait du caractère évolutif de ce risque. C'est la raison pour laquelle, lorsque les entreprises ne sont pas en mesure d'évaluer leur propre exposition, nous proposons à nos clients une évaluation de leur risque cyber avec l'appui d'un cabinet spécialisé en la matière (CGI Business consulting).

Certaines compagnies telles que Beazley développent une approche services prononcé ACE, AIG embrayent avec aussi sur «le package services ». Pourquoi ces offres de services constituent un tendance majeure du marche des polices cyber en 2016 ?

Les différents assureurs sur le marché français  (Ace Beazley, Zurich, AIG, AXA...) ont mis l'accent sur l'assistance de l'assuré avec la mise en place de services d'accompagnement en cas d'atteinte à la sécurité informatique et d'atteinte aux données personnelles (expert informatique, expert juridique, consultant en gestion de crise, monitoring...) qui viennent compléter les garanties cyber classiques (garantie des pertes financières, frais supplémentaires, frais de défense, couverture RC  et frais de notification)

 

 

En matière de capacités, quelles évolutions constatez-vous ?

Les capacités sur le marché augmentent tous les ans avec l'arrivée de nouveaux acteurs.

Il est difficile d'évaluer les capacités réelles du marché français (capacité variables entre les garanties Dommages immatériels et RC) mais capacité cumulée théorique d' environ 250 à 300 millions €.

 

 

« Responsabilité des mandataires sociaux en cas de violation de données des explications seront données. La gestion de crise avec conséquence d'impact plus grande en terme de mauvaise communication » 

Le risque cyber est un risque émergent, le risque de mise en cause de la RC des dirigeants est juridiquement possible mais semble à ce jour extrêmement hypothétique compte tenu que la très grande majorité des entreprises en France n'a pas encore souscrit ce type de couverture (plutôt une responsabilité de l'entreprise que de son dirigeant).

Propos recueillis par @jpbichard

 

 

 

BONUS: 

ENCORE IMMATURE, LE MARCHE FRANÇAIS DE L’ASSURANCE CONTRE LES CYBER RISQUES VA EXPLOSER CES PROCHAINES ANNÉES

Le marché mondial des primes d’assurance contre les cyber attaques devrait doubler au cours des quatre prochaines années, boosté par un effet de rattrapage massif des entreprises européennes, et notamment françaises. Pour accompagner cette tendance, Verspieren, premier courtier en assurances français à capital familial, aide ses clients et prospects à identifier les risques auxquels ils sont confrontés sans vraiment le savoir et les avoir mesurés. Si les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015* (+51% sur un an vs +38% en moyenne mondiale), très peu d’entre elles ont initié une démarche d’audit en vue de souscrire un contrat d’assurance. Au niveau mondial, les primes d’assurances contre les cyber-attaques souscrites en 2014 représentent 2,5 milliards de dollars, dont 2,2 milliards pour les seuls Etats-Unis et 165 millions pour l’ensemble de l’Europe.

Conscientes du risque financier que font peser sur elles les cyber attaques, les entreprises européennes devraient largement contribuer au doublement estimé du marché à horizon 2020. La protection des données, au cœur des débats du prochain Forum international de la cybersécurité (Lille, les 25 et 26 janvier 2016), représente l’enjeu de sécurité majeur des entreprises, qui n’en sont paradoxalement pas conscientes. Ainsi en France, le coût moyen d’une fuite était de 122€ par donnée volée en 2013 (coût lié à la réparation des dommages pour l’entreprise et pour son client, aux frais de justice, aux amendes de la CNIL…). « Pour avoir un ordre d’idée, il faut savoir que 550 millions de données personnelles ont été dérobées aux Etats-Unis en 2013. Avec un tel chiffre, un rapide calcul permet d’imaginer facilement l’écrasement financier auquel doit faire face une entreprise victime de vols de données », explique Yves Fournier, Directeur de clientèle Grand compte chez Verspieren.

Selon le rapport Verizon 2015, la compromission de données représente un coût variable entre 2 et 5 millions de dollars dans 95% des cas, certaines allant jusqu’à 200 millions de dollars. Risque de faillite d’entreprises Malgré de tels risques financiers, les entreprises françaises sont encore peu nombreuses à avoir souscrit à une protection assurantielle contre les cyber-risques. « Les PME et les ETI, qui représentent 98% du paysage économique français, restent peu équipées contre de telles menaces souvent parce qu’elles n’estiment pas prioritaire d’allouer un budget à cela. Pourtant ces entreprises sont vulnérables et certaines peuvent ne jamais se relever du coup financier porté par une cyber attaque. Les cyber attaques impliquent donc des conséquences financières qui ne peuvent être ignorées », prévient Yves Fournier.

 

Conscient que la première étape vers une maturité du marché passe par un travail de pédagogie et d’accompagnement à la prise de décision, Verspieren, en partenariat avec CGI Business Consulting, propose à ses clients et prospects un service d’évaluation des cyber risques et des couvertures les plus adaptées. « Si les possibilités de croissance de ce marché sont très fortes, nous devons encore faire un long travail de sensibilisation auprès des dirigeants et responsables informatiques, avant de leur proposer la meilleure couverture assurantielle », conclut Yves Fournier. *Tiré de l’étude « The Global State of Information Security Survey 2016 » réalisée par PwC en collaboration avec CIO et CSO.

Verspieren, premier courtier en assurances français à capital familial, prévoit une explosion du marché mondial des primes d'assurance contre les cyber-attaques au cours des prochaines années. 

 

 

Jimaan Sane, souscripteur Cyber Risk chez Beazley « Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans. » 

Cyber Expert : Cyberisques NEWS

 

Jimaan Sane, souscripteur chez Beazley et spécialiste du cyber-risque

« Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans. » 

 

Bonjour Jimaan, sur le texte européen propre a la protection et à la souverainneté des données, (« RGPD »), qu'en retiens-tu ?

4 % du CA a concurrence de 100 ou 20 millions d'euros, c'est un point a noter mais ce n est pas le seul ; Par exemple, des tiers comme les hébergeurs peuvent également être poursuivis. On se rapproche de ce qui se fait aux US. Responsable des données et transporteur / hébergeur se trouvent responsables autant que le client.

Cote cyber assureur ça change quoi ?

On assiste a un transfert de responsabilité déjà vu aux US . Ce qui s'est traduit par des extensions cyber dans les contrats classiques d’une part et l’adoption de polices spécifiques dans leur contrat RC avec les extensions cyber (poursuite de la CNIL) assurabilité des amendes.. frais de notification… poursuite des hébergeurs… Les incidents peuvent se traiter en amont avec plan PRA cyber par exemple et en aval avec une Police post incident. Ce qu'on voit en Europe d'un point de vue réglementaire ressemble de loin à ce qui se fait aux US depuis 5 et 6 ans.

W3FORUM-2016

 Source: World Economic Forum® Report 2016

 

Il existe toutefois des différences culturelles et réglementaires comme les contrats RC aux US très différents dans leurs usages des RC européens ?

Oui mais les compagnies se sont adaptées. Aux US, les frais de defense, action de masse… coûtent tres chers. Mais les garanties sont a peu près les mêmes.

 

Quelles différence alors entre les polices cyber aux US et en Europe ?

Le contexte est différent : en Europe car la culture du litige n'est pas la même le coût d'un incident n'est pas identique Fréquence des poursuites, montant des amendes, etc...

 

Dans les affaires récentes de cyber-attaques bon nombre de procès apparaissent entre les souscripteurs autrement dit les compagnies attaquées et leurs compagnies d'assurance. Pourquoi selon Toi ?

Il est important de déterminer en amont ce que l’on souhaite couvrir et ensuite le quantifier afin de s’assurer que la couverture sera en adéquation avec l’exposition. C’est un travail qui se fait souvent avec des polices de plus en plus spécifiques aux besoins de clients particuliers.

 

Si une baisse du chiffre d'affaires est constatée suite a une cyber-attaque, comment l'imputée et la quantifiée quand on s'appelle Beazley ?

Ceci se fait au cas par cas, et en analysant la baisse d’activité pendant la période d’interruption et de rétablissement. Il faut également tenir compte des impacts de l’atteinte à l’image qui peuvent également s’avérer conséquents. Ces derniers ne sont pas toujours faciles à quantifier en amont.

 

Le marché de l'assurance est descriptif pas prédictif : comment définir la cyber assurance dans ce concept ?

C'est le problème. Est ce que les assureurs classiques ont suffisamment de capacité ?

 

Intention-de-souscription-2015

 

 

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Comment analyses-tu l'indemnisation des nouveaux risques cyber propres aux infrastructures critiques de type ICS / Scada? Faut il mettre en place des mécanismes spécifiques de mutualisation ?

Si l'on prend le cas des actes de terrorisme ou des catastrophes naturelles, des solutions de mutualisation existent déjà en France. En termes de capacité au sens assureurs le marché Français doit atteindre 300 400 millions avec plusieurs compagnies en cyber. Est ce suffisant pour un acteur tel que EDF par exemple ? En cas de réponse négative il faut créer un pool qui peut compléter. Les catnat (cf section BONUS) sont gérés par une entité étatique la CCR qui encaisse 12 % des primes payées en France sur les catastrophes naturelles. Via cet acteur l'Etat intervient et met 50 % dans les indemnisations. Un mécanisme identique pourrait se mettre en place pour des cyber-catastrophes.

 

Objets connectés et cyber- assurance, un nouveau couple pour le business des assureurs selon Toi ?

Les responsabilités sont partagées avec les IoT. C est une problématique qui évolue via l' évolution techno. Mais des primes sont à l'étude.

 

Pourquoi es-tu chez Beazley ? C'est mieux payé ? Le portefeuille cyber dispose d'une offre intéressante ?

Ce qui intéresse les clients c'est l'accompagnement au-delà de l'offre ; Les assureurs deviennent des prestataires. Que fait-on ? Est une de nos questions que nous nous posons avec nos clients et pas seulement combien çà coûte. Notre offre évolue en fonction de l'évolution des incidents. Nous assureurs nous sommes a la jonction de tous les métiers comme accompagnateur et coordinateur. Sur 3000 incidents 80 % c'est de l'accompagnement et 20 % de la RC a l'échelle mondiale.

 

As tu un exemple d'un impact qui coûte cher suite a une cyberattaque ?

Talk talk a subi une attaque en 2015. La CEO décide d'intervenir en TV au JT national le lendemain. Parfois il vaut mieux attendre car en se précipitant elle n'a pas peu répondre à une question du journaliste sur le nombre exact de victimes. En expliquant qu'elle avait 5 millions de clients l'opinion a cru qu'il avait 5 millions de victimes. Or après enquête il n'y a eu que 100 000 victimes. Il faut une réponse maîtrisée même si les conséquences pour les actionnaires sont souvent immédiates.

 

Beazley en France combien de contrats cyber ?

En 12 mois nous avons multiplié par 3 nos souscriptions aupres des PMI. Certains grands comptes veulent s'autoassurer aussi ; Quelle est la meilleure façon de traiter le risque ? L assurance est une des réponses.

 

En 2016 quelles évolutions vois-tu pour le marché ?

La réglementation va aider a la croissance si une obligation d'assurer les notifications intervient. En termes de business c'est difficile a estimer.

Propos recueillis par @jpbichard

 

Extrait du rapport 2016: « The Global State of Information Security Survey 2016 » réalisée par PwC en collaboration
avec CIO et CSO pour le courtier Verspieren

Si les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015* (+51% sur un
an vs +38% en moyenne mondiale), très peu d’entre elles ont initié une démarche d’audit en vue de souscrire
un contrat d’assurance. Au niveau mondial, les primes d’assurances contre les cyber-attaques souscrites
en 2014 représentent 2,5 milliards de dollars, dont 2,2 milliards pour les seuls Etats-Unis et 165 millions
pour l’ensemble de l’Europe. Conscientes du risque financier que font peser sur elles les cyber attaques, les
entreprises européennes devraient largement contribuer au doublement estimé du marché à horizon 2020.
La protection des données, au cœur des débats du prochain Forum international de la cybersécurité (Lille, les

25 et 26 janvier 2016), représente l’enjeu de sécurité majeur des entreprises, qui n’en sont paradoxalement
pas conscientes. Ainsi en France, le coût moyen d’une fuite était de 122 par donnée volée en 2013 (coût lié
à la réparation des dommages pour l’entreprise et pour son client, aux frais de justice, aux amendes de la
CNIL…). « Pour avoir un ordre d’idée, il faut savoir que 550 millions de données personnelles ont été dérobées
aux Etats-Unis en 2013. Avec un tel chiffre, un rapide calcul permet d’imaginer facilement l’écrasement
financier auquel doit faire face une entreprise victime de vols de données », explique Yves Fournier, Directeur
de clientèle Grand compte chez Verspieren. Selon le rapport Verizon 2015, la compromission de données
représente un coût variable entre 2 et 5 millions de dollars dans 95% des cas, certaines allant jusqu’à 200
millions de dollars.


 

 

CYBERISQUES.COM premier service de Veille "Business & CyberRisks" pour les dirigeants et membres des COMEX/CODIR

 

Renseignements    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS :

http://www.cyberisques.com/fr/mots-cles-8/482-cyberisques-news-cyberinsurance-notes-2016

 

https://www.beazley.com/specialty_lines/professional_liability/tmb/beazley_breach_response.html

 http://www.catnat.net/cartographie/catnat-maps

https://youtu.be/1cCLt1g0i58?list=PL7m903CwFUgnntt1XT21ISGmKh624RTsd

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires