Vos données informatiques sont-elles bien assurées ?

Vol d'informations, perte d'exploitation… En France, peu d'entreprises ont recours à des polices d'assurance pour se prémunir de sinistre, au sein de leur système d'information. Jusqu'à il y a un an, l'offre était en effet quasi inexistante dans l'Hexagone. Une tendance qui est en passe de s'inverser.

Avec la multiplication des attaques informatiques et leur médiatisation, le marché des ventes d'assurances pour couvrir le cyber-risque ne cesse de grossir. Si l'on en croit les experts américains, il représenterait déjà entre 500 et 700 millions de dollars aux Etats-Unis, et devrait progresser de 10 à 25 % d'ici à à 2020. “ Il a fallu attendre l'attaque de Stuxnet et, surtout, le piratage des données de Sony pour que les entreprises prennent conscience qu'un problème informatique était capable d'arrêter une usine, constate Luc Vignancour, directeur du département Finpro chez Marsh. Elles ont alors aussi réalisé que les informations confidentielles de leurs clients, et les leurs, avaient une valeur. ” A cela, s'est ajoutée l'évolution de la législation sur les données personnelles qui a transformé la demande.Le calcul des couvertures a également progressé dans le temps. Venus des Etats-Unis ou du Royaume-Uni il y a une dizaine d'années, les premiers contrats étaient élaborés à partir de taux basés sur le chiffre d'affaires de l'entreprise. Ils ne tenaient pas compte de la valeur des données. Ainsi, un fabricant de cintres pour vêtements, avec un chiffre d'affaires de 1 milliard de dollars et peu d'informations sensibles, payait davantage qu'une clinique médicale réalisant 500 millions de dollars de chiffre d'affaires, mais manipulant des renseignements ultraconfidentiels.

Des nouveaux critères et des nouvelles offres

Au fil du temps, d'autres critères ont donc été pris en compte pour le calcul des polices et de la couverture : l'exposition de l'entreprise à la réglementation ; le nombre d'intervenants extérieurs (prestataires, partenaires…) autorisés à accéder au réseau de celle-ci ; les contrôles de sécurité mis en place… Aujourd'hui, les offres commencent à arriver sur le territoire français, dans une culture du silence, et parfois de déni, face à la vulnérabilité numérique. Il est pourtant impératif de convaincre. Ainsi début novembre, la Française des Jeux (FDJ) et SFR étaient tous deux victimes d'une intrusion. Dans une déclaration, la FDJ se voulait rassurante, affirmant ne pas avoir perdu de données personnelles parce qu'elle est certifiée ISO 27001. Certifiée oui, mais assurée, non.