Inscrivez-vous gratuitement à la Newsletter BFM Business
Début octobre, acteurs de l'informatique et assureurs ont annoncé des offres communes pour lutter contre le cyber-risque. Avec des approches sensiblement différentes.
Les Assises de la sécurité, qui se sont tenues à Monaco en octobre dernier, ont fait la part belle au marché de l'assurance contre le cyber-risque. Plusieurs annonces ont mis en avant cette problématique. Ainsi, le consultant Sogeti et le courtier Marsh ont présenté un partenariat autour de la sécurité informatique, tandis que l'expert Cassidian Cybersecurity et la filiale gestion des risques de l'assureur Axa ont dévoilé la signature d'un accord pour “ sensibiliser les dirigeants des grandes sociétés aux cyber-risques et installer des programmes d'identification et de prévention ”. Enfin, l'assureur Hiscox rappelait par sa présence son statut de pionnier en la matière, avec déjà plusieurs partenariats, dont un avec Sysdream, expert en tests d'intrusion.L'offre de Sogeti et Marsh se veut exhaustive : de la prévention des risques en passant par les polices d'assurance, “ l'objectif est de prendre le sujet dans sa globalité ”, résume Yves Le Floch, directeur du développement de la cybersécurité chez Sogeti. Ce partenariat s'appuie donc sur des solutions (audit de sécurité, tests d'intrusion…) déjà au catalogue de Sogeti et présentant la caractéristique d'associer non pas un assureur, mais un courtier. “ Notre offre s'adresse aux très grandes sociétés, où les risques se chiffrent parfois à plusieurs dizaines de millions d'euros. Dans ce cas, un assureur n'est pas en mesure de tout couvrir à lui seul. Un courtier qui regroupera plusieurs professionnels est alors nécessaire ”, précise Yves Le Floch, qui reconnaît aussi que cela donne l'occasion à Sogeti “ de travailler avec un grand nombre d'assureurs ”. Quant au choix de Marsh, il semblait tout naturel : “ C'est le leader en France des assurances pour les risques industriels des sociétés. ” Le prestataire de sécurité intervient à plusieurs niveaux. Sa première démarche consiste à donner à l'entreprise une idée précise de ses risques : “ Nous commençons par effectuer un audit que nous remettons au client. Ce rapport est extrêmement confidentiel et n'est pas transmis au courtier ”, indique le représentant de Sogeti, qui rappelle que la durée de l'audit dépend de la taille de la société et de la complexité de son système d'information (SI). Il reconnaît cependant que, pour une entreprise qui a des filiales à travers le monde, “ il est impossible d'aller vérifier tous les systèmes ”. Cette phase terminée, Sogeti remplit une fiche de synthèse à destination du courtier qui mesure le niveau technique du client.
Baisser la prime ou augmenter la couverture
Dans un second temps, il est souhaitable de chercher à réduire les risques informatiques. Sogeti établit donc un plan de recommandations à suivre. “ Cela peut conduire à une baisse de la prime ou à une augmentation de la couverture ”, note Yves Le Floch. Enfin, Sogeti dispose d'une cellule de gestion de crise qui n'intervient pas dans la communication, mais analyse l'incident qui s'est produit et aide le client à mettre en œuvre un plan de reprise d'activité. Pour Luc Vignancour, directeur du département Finpro chez Marsh, “ l'expertise de Sogeti dans la gestion des cyber-risques sert à promouvoir la bonne gestion du risque auprès des assureurs ”.Hiscox, qui a été l'un des premiers assureurs à présenter une offre d'assurance des cyber-risques, cible plutôt les petites et moyennes entreprises (PME). Le Britannique tient à marquer sa différence : “ Notre offre globale est 100 % opérationnelle, indique François Brisson, responsable marché technologie média télécoms chez Hiscox. Nous intervenons très en amont avec un audit de sécurité. En cas d'incident, nous suggérons des avocats spécialisés et des agences de communication de crise. ” Pour ce faire, l'assureur britannique travaille aujourd'hui avec six partenaires : trois cabinets d'avocats ; deux sociétés d'investigation informatique dont Sysdream ; et deux agences de communication. Une liste susceptible de s'étoffer, car “ la demande est importante ”. Pour les PME, Hiscox a bâti une offre packagée, mais, souligne François Brisson, “ la police n'est pas techniquement très différente entre une grande et une petite société. Et d'ailleurs, les clients sont moins réceptifs à l'offre technique. Ce qui diffère, c'est la capacité de mise en place et le montant assuré. ”Le couple Cassidian-Axa Matrix, lui, n'offre pas de garantie à proprement parler, mais plutôt des programmes de prévention des cyber-risques qui s'articulent autour de trois niveaux d'intervention : identification des niveaux de risques et d'exposition aux cybermenaces à travers la mise en place d'audits spécifiques ; atténuation des risques cybernétiques grâce à une gamme de services articulés autour d'un SOC (Security Operation Center), permettant d'offrir une supervision en temps réel ; et enfin, maintien des opérations et reprise d'activité. Ces services s'adressent essentiellement aux très grandes entreprises, et plus particulièrement dans les domaines d'activité critique comme la production d'énergie électrique, l'industrie automobile, l'aéronautique et l'industrie du luxe.
Votre opinion