Assureurs et experts en sécurité s'allient contre le cyberrisque

Si couvrir l'incident informatique physique n'est pas nouveau, garantir les risques d'intrusion et de vols d'informations l'est beaucoup plus. En effet, dans le premier cas, il aura suffi pour les compagnies d'assurances de reprendre les polices existantes et de les adapter aux cas d'incendie ou de dégâts matériels survenus dans la salle informatique. Dans le second, les assureurs ont dû partir d'une feuille blanche. Alors, pour parvenir à contractualiser cette nouvelle espèce de garantie, ces derniers se sont rapprochés d'experts en sécurité informatique. Le premier étant l'assureur britannique Hiscox qui travaille, entre autres, avec la société Sysdream, spécialisée dans les tests d'intrusions. Aujourd'hui, c'est au tour d'Axa et de Marsh de leur emboîter le pas, en s'associant respectivement à Cassidian et Sogeti.

Sensibiliser à la culture du risque

Certaines entreprises ont déjà une culture du risque informatique. Une sensibilité presque naturelle liée au secteur, le monde bancaire par exemple. D'autres, éloignées de cette problématique, sont pourtant tout aussi exposées. “ Nous avons cherché le moyen de sensibiliser les dirigeants de ces sociétés. Elles ont déjà une culture du risque, mais pas informatique. Il faut donc avoir une approche de cette nature pour nous faire comprendre. Soit, concrètement, parler le même langage ”, raconte Sébastien Héon, directeur des relations institutionnelles chez Cassidian. L'assureur Axa apporte son savoir-faire dans l'analyse de risques. Cassidian, lui, déploie son expertise technique pour mesurer le niveau d'exposition et suggérer les bons verrous à poser.Pourtant, il existe déjà des méthodes d'analyses connues, comme Ebios, ainsi que des guides de bonnes pratiques tel l'Iso 27002. Quelle est la valeur ajoutée d'une telle offre ? “ Les méthodes papier restent des exercices théoriques et sont surtout connues des spécialistes de la sécurité des systèmes d'information. Pour notre part, nous voulons porter le discours cyberrisque au niveau du comité exécutif. Et appuyer notre analyse de risque sur un check up technique du système d'information ”, répond Sébastien Héon.

Analyser les processus métier

Durant cette étape de diagnostic, et avant d'entreprendre un quelconque test d'intrusion, il s'agira de vérifier que le système d'information n'est pas déjà sujet à des attaques. “ Ce qui est souvent le cas ”, ajoute Sébastien Héon. S'ensuit une analyse des processus métier et des moyens informatiques mis en œuvre pour l'activité quotidienne de la société en vue d'entamer une démarche de réduction des risques. Ce n'est qu'une fois ces différentes phases terminées que l'entreprise se verra proposer une police d'assurance adaptée à son niveau de risque.