L’assurance ne dispense pas de la protection

En janvier 2015, une étude de l’assureur Allianz, réalisée auprès d’un panel de risk-managers, révélait fort heureusement que le risque cyber était une de leurs cinq grandes préoccupations. C’est au vu de ce type d’étude qu’une vingtaine de grands assureurs mondiaux se penchent depuis quelques années sur l’assurance du risque cyber, après avoir couvert depuis plus longtemps le risque purement informatique.
En avril 2015, le groupe EON, un des plus gros courtiers en assurance mondiaux, a réalisé auprès de 1400 personnes (risk-managers, dirigeants et directeurs financiers) une autre étude riche d’enseignement. Nous y apprenons que le risque cyber se place aujourd’hui à la neuvième place du classement des 10 risques majeurs des entreprises, ce risque incluant les délits informatiques, le piratage, les virus, les codes malveillants, etc. Le groupe EON confirme ainsi que le risque cyber est devenu un véritable enjeu du point de vue assurantiel, même si le marché n’est pas encore tout à fait mûr : peu de données sur longue durée pour calculer la valeur des dommages, difficulté à définir le périmètre couvert, difficulté à agréger un pool de risques pour la revente à un réassureur, etc. Mais le marché va certainement évoluer, pour deux raisons : tout d’abord, l’étude AON montre que les dirigeants d’entreprise ne sont pas encore préoccupés par le risque cyber et sont bien plus focalisés sur les risques économiques et financiers (prix des matières premières, ralentissement économique, défaillances techniques). Ensuite, une partie des responsables de l’entreprise a compris qu’existait vraiment une inter-connectivité des risques, pouvant toucher par exemple à l’image de l’entreprise, et se révéler dévastatrice financièrement : Sony en a vécu l’expérience il y a deux ans. Nul doute que les dirigeants d’entreprise, prenant conscience de l’ampleur de leur responsabilité, se tourneront alors vers leur assureur pour se couvrir. A l’image de ce qui se passe en Grande-Bretagne (https://www.gov.uk/government/publications/uk-cyber-security-the-role-of-insurance), il se peut aussi que l’obligation d’assurance cyber ne devienne un jour fortement recommandée, en application du fameux principe de précaution. Mais, tout comme l’assureur oblige à poser une serrure 4 ou 5 étoiles ou des fenêtres anti-effraction pour assurer un domicile contre le vol, il demandera à l’entreprise de mettre en place une protection 4 ou 5 étoiles de ses systèmes d’information …