Deux assurances pour aider les entreprises à lutter contre le cybercrime

22/11/2012 à 00h00

Début octobre, acteurs de l'informatique et assureurs ont annoncé des offres communes pour lutter contre le cyber-risque. Avec des approches sensiblement différentes.

Vos données informatiques sont-elles bien assurées ?
Pourquoi il est indispensable de s'assurer contre le vol de données
Deux assurances pour aider les entreprises à lutter contre le cybercrime
Quelles garanties supplémentaires attendent les professionnels du risque

Les Assises de la sécurité, qui se sont tenues à Monaco en octobre dernier, ont fait la part belle au marché de l'assurance contre le cyber-risque. Plusieurs annonces ont mis en avant cette problématique. Ainsi, le consultant Sogeti et le courtier Marsh ont présenté un partenariat autour de la sécurité informatique, tandis que l'expert Cassidian Cybersecurity et la filiale gestion des risques de l'assureur Axa ont dévoilé la signature d'un accord pour “ sensibiliser les dirigeants des grandes sociétés aux cyber-risques et installer des programmes d'identification et de prévention ”. Enfin, l'assureur Hiscox rappelait par sa présence son statut de pionnier en la matière, avec déjà plusieurs partenariats, dont un avec Sysdream, expert en tests d'intrusion.L'offre de Sogeti et Marsh se veut exhaustive : de la prévention des risques en passant par les polices d'assurance, “ l'objectif est de prendre le sujet dans sa globalité ”, résume Yves Le Floch, directeur du développement de la cybersécurité chez Sogeti. Ce partenariat s'appuie donc sur des solutions (audit de sécurité, tests d'intrusion…) déjà au catalogue de Sogeti et présentant la caractéristique d'associer non pas un assureur, mais un courtier. “ Notre offre s'adresse aux très grandes sociétés, où les risques se chiffrent parfois à plusieurs dizaines de millions d'euros. Dans ce cas, un assureur n'est pas en mesure de tout couvrir à lui seul. Un courtier qui regroupera plusieurs professionnels est alors nécessaire ”, précise Yves Le Floch, qui reconnaît aussi que cela donne l'occasion à Sogeti “ de travailler avec un grand nombre d'assureurs ”. Quant au choix de Marsh, il semblait tout naturel : “ C'est le leader en France des assurances pour les risques industriels des sociétés. ” Le prestataire de sécurité intervient à plusieurs niveaux. Sa première démarche consiste à donner à l'entreprise une idée précise de ses risques : “ Nous commençons par effectuer un audit que nous remettons au client. Ce rapport est extrêmement confidentiel et n'est pas transmis au courtier ”, indique le représentant de Sogeti, qui rappelle que la durée de l'audit dépend de la taille de la société et de la complexité de son système d'information (SI). Il reconnaît cependant que, pour une entreprise qui a des filiales à travers le monde, “ il est impossible d'aller vérifier tous les systèmes ”. Cette phase terminée, Sogeti remplit une fiche de synthèse à destination du courtier qui mesure le niveau technique du client.

Baisser la prime ou augmenter la couverture

Dans un second temps, il est souhaitable de chercher à réduire les risques informatiques. Sogeti établit donc un plan de recommandations à suivre. “ Cela peut conduire à une baisse de la prime ou à une augmentation de la couverture ”, note Yves Le Floch. Enfin, Sogeti dispose d'une cellule de gestion de crise qui n'intervient pas dans la communication, mais analyse l'incident qui s'est produit et aide le client à mettre en œuvre un plan de reprise d'activité. Pour Luc Vignancour, directeur du département Finpro chez Marsh, “ l'expertise de Sogeti dans la gestion des cyber-risques sert à promouvoir la bonne gestion du risque auprès des assureurs ”.Hiscox, qui a été l'un des premiers assureurs à présenter une offre d'assurance des cyber-risques, cible plutôt les petites et moyennes entreprises (PME). Le Britannique tient à marquer sa différence : “ Notre offre globale est 100 % opérationnelle, indique François Brisson, responsable marché technologie média télécoms chez Hiscox. Nous intervenons très en amont avec un audit de sécurité. En cas d'incident, nous suggérons des avocats spécialisés et des agences de communication de crise. ” Pour ce faire, l'assureur britannique travaille aujourd'hui avec six partenaires : trois cabinets d'avocats ; deux sociétés d'investigation informatique dont Sysdream ; et deux agences de communication. Une liste susceptible de s'étoffer, car “ la demande est importante ”. Pour les PME, Hiscox a bâti une offre packagée, mais, souligne François Brisson, “ la police n'est pas techniquement très différente entre une grande et une petite société. Et d'ailleurs, les clients sont moins réceptifs à l'offre technique. Ce qui diffère, c'est la capacité de mise en place et le montant assuré. ”Le couple Cassidian-Axa Matrix, lui, n'offre pas de garantie à proprement parler, mais plutôt des programmes de prévention des cyber-risques qui s'articulent autour de trois niveaux d'intervention : identification des niveaux de risques et d'exposition aux cybermenaces à travers la mise en place d'audits spécifiques ; atténuation des risques cybernétiques grâce à une gamme de services articulés autour d'un SOC (Security Operation Center), permettant d'offrir une supervision en temps réel ; et enfin, maintien des opérations et reprise d'activité. Ces services s'adressent essentiellement aux très grandes entreprises, et plus particulièrement dans les domaines d'activité critique comme la production d'énergie électrique, l'industrie automobile, l'aéronautique et l'industrie du luxe.

L'offre d'Hiscox

Les primes peuvent atteindre 50 000 ou 100 000 euros.
Des tarifs adaptés aux PME.
Une couverture jusqu'à 10 M d'euros en cas de sinistre.

Les interventions d'Hiscox dépendent du cyberincident, et donc de la nature de la perte (cyberattaque, vol par un employé, etc.). Cela comprend l'accompagnement par un avocat, la gestion de crise, le nettoyage d'un SI contaminé… L'assureur propose, par exemple, une garantie en cas d'extorsion ou de menaces. Hiscox travaille, si nécessaire, avec des spécialistes capables de négocier avec les maîtres chanteurs. Après un sinistre, il surveille pendant un an les données dérobées, prend en charge le montant du chiffre d'affaires perdu à cause du hacking, les frais d'avocat, ainsi que les dommages et intérêts au civil et les frais au pénal.

2 questions à… : Olivier Franchi, directeur associé de Sysdream

Que proposez-vous en partenariat avec les assureurs ?

Sysdream suggère à ses clients une investigation post-incident. Soit pour de la récupération de données supprimées, soit pour l'extraction d'éventuelles traces montrant la source de l'incident. Avec Hiscox, nous réalisons en plus un audit technique en amont. Le test de base comprend un scan de vulnérabilité. Si le client le souhaite, nous effectuons un test d'intrusion. Dans ce cas, la prestation est accompagnée de conseil. Cette intervention dure de trois à cinq jours et un test d'intrusion de base se facture entre 4 500 et 6 000 euros.

Quels critères employez-vous pour évaluer les risques ?

Nous attribuons une note au périmètre d'exposition du client (faible, moyen, fort). Cette note dépend de quatre facteurs : celui de vulnérabilité, celui de menace, l'impact technique et l'impact entreprise selon le secteur d'activité. Chacun de ces constituants est noté, et nous effectuons une moyenne entre les deux premiers et entre les deux derniers. Grâce au résultat obtenu, nous donnons une note évaluant le SI du client selon son secteur d'activité.

Stéphane Bellec

Votre opinion