Après Glasgow, Marrakech. Abdellatif Hammouchi reçoit le drapeau d'Interpol au nom du Maroc    Le conseil provincial de Guelmim adopte son budget pour 2025    Renforcement de la gouvernance des finances publiques : Fettah à l'œuvre    Mbarka Bouaida : « La position française rétablit une certaine justice envers le Maroc »    Coopération. La Mauritanie et le Sénégal renforcent leurs liens    Sahara marocain : l'ONU doit trancher    Salon Maroc in Mode 2024 : innovation et savoir-faire textile au rendez-vous    Authentification des autorisations : un nouveau dispositif à l'Office des changes    Investissements. Le groupe AFD se lance au Sahara marocain    Industrie minière : Aya Or & Argent démarre le traitement du minerai à Zgounder    Challenge N°944 : Du 8 au 14 novembre 2024    Bourse de Casablanca : ouverture en territoire positif    M-Automotiv devient l'importateur exclusif de JAC Motors au Maroc    Mezzour et son homologue de la RD-Congo en discussion stratégique à Francfort    Xi Jinping met l'accent sur un développement de haute qualité du travail social    Inondations en Espagne : 5 décès parmi la communauté marocaine    L'Alliance des Etats du Sahel lance sa stratégie de défense    Fenerbahçe : Youssef En-Nesyri auteur d'un but et d'un penalty raté    Lions de l'Atlas : Les raisons derrière l'absence de Hakim Ziyech    Amina Dehhaoui : La championne de taekwondo venue du Souss    Rallye Dakhla-Guerguerat 2024 : célébration de la marocanité du Sahara et de l'histoire automobile    Europa League. J4: El Kaâbi buteur, En-Nesyri manque un penalty !    LDC (F) : la vidéo promotionnelle de l'AS FAR postée par la CAF !    Les étudiants en médecine mettent fin à leur grève    Séisme de 2023 : 63 766 familles bénéficiaires de l'aide financière mensuelle jusqu'au 25 octobre    La signature d'un PV met fin à la crise en médecine    Education. Le Liberia actualise sa base de données    Salon international du livre de Sharjah : Le patrimoine culturel du Maroc à l'honneur !    La Biennale de l'art africain contemporain de Dakar démarre    Aziz Akhannouch reçoit le Premier ministre du Niger    Botola DII. J6 (acte I): Les co-leaders en déplacement, la lanterne rouge à domicile ce vendredi    Etats-Unis : Le retour de Trump à la Maison Blanche terrifie les sans-papiers    L'Algérie dément avoir instauré des restrictions commerciales contre la France    « Houris », le roman qui a valu le prix Goncourt à Kamal Daoud    Le temps qu'il fera ce vendredi 8 novembre 2024    Grippe et infections respiratoires : Le MSPS lance une campagne de prévention    Abdellatif Hammouchi préside la délégation du Maroc à l'AG d'Interpol à Glasgow    Championnat de l'UNAF/U17: Nabil Baha convoque 20 joueurs    Face à des ventes en berne, Nissan supprime 9.000 postes    FIFM 2024 : Découvrez la sélection des 70 films venus de 32 pays    FIFM 2024 : Luca Guadagnino à la tête d'un jury international pour décerner l'Étoile d'or    Le Maroc des cultures, invité d'honneur au Salon du livre de Sharjah    Government to implement royal directives on Moroccans living abroad, PM says    Clinique Internationale de Dakhla : Akdital inaugure un nouveau centre de santé dans le Sud    Michaël Gregorio présente « L'Odyssée de la Voix » au Théâtre Mohammed V de Rabat    Après le discours royal, Aziz Akhannouch préside une réunion axée sur la gestion des affaires des MRE    Réélection de Trump : les partenariats marocains à l'épreuve de la guerre économique sino-américaine    A vélo, Khalid Aboubi met en lumière l'Histoire des rues de Marrakech    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Quelles couvertures d'assurance pour les cyber-risques ?
Publié dans Challenge le 22 - 05 - 2015

Dans un monde de plus en plus dématérialisé, les entreprises font face, aujourd'hui, à des défis et à des contraintes d'un genre nouveau. L'utilisation des technologies de l'information, leur interconnexion tout en offrant une certaine quiétude dans la gestion a ouvert, en parallèle, de nouvelles brèches aux cyber-attaques causant des pertes considérables pour l'économie. La nature de ces risques et l'ampleur des dommages qui en découlent les rendent-ils assurables ? La « cyber-assurance» s'est-elle bien préparée pour la protection et la prévention de ces nouveaux risques qui guettent le patrimoine informationnel des entreprises ? par Abdelfettah Alami
Quelle que soit sa taille, toute entreprise est aujourd'hui exposée aux cyber-risques. L'actualité récente montre que même les gros groupes industriels étaient mal préparés contre les nouvelles formes de ces attaques. Les sinistres les plus spectaculaires recensés récemment, entre 2013 et 2015 ont mis à nu le niveau de sécurité mis en place. Target, eBay, Sony Pictures, Orange, TV5 Monde et Ryanair, victimes d'actes de hackers ayant intégré leurs systèmes d'information et occasionnant soit la perte de données des clients, soit un transfert frauduleux de fonds, ou soit carrément le blocage de l'activité de l'entreprise, illustrent ce phénomène.
De façon générale, le nombre de victimes et le coût de tels dommages explosent. Selon certaines estimations, en 2013, 42,8 millions de cyber-attaques ont été recensées et 740 millions de données ont été subtilisées. Les vols de données, espionnages et autres cyber-risques auraient coûté entre 300 et 1.000 milliards de dollars.
De la sécurité informatique à la cyber-sécurité
L'on sait depuis toujours, que la protection des données informatiques faisait partie des préoccupations de chaque chef d'entreprise. Le verrouillage et le contrôle de l'accès aux différents programmes, le renforcement des règles internes de sécurité étaient intégrés dans les budgets d'investissement informatiques des entreprises ; d'ailleurs, on parlait, à l'origine de logiciels et procédures de « sécurité informatique » traitant du bon usage du système d'information pour éviter des comportements irrationnels ou malveillants. En parallèle, les risques encourus, jusqu'aux années 2000 concernaient principalement des virus susceptibles d'affecter le système. Les responsables de tels actes étaient plutôt des « amateurs » propulsés beaucoup plus par l'aventure et le défi d'un exploit informatique dans des milieux réputés inviolables, que par une volonté de nuire.
C'est pour cette raison que l'assurance des risques informatiques faisait partie des risques classiques, comme l'étaient les autres couvertures et produits commercialisés par les compagnies d'assurances. C'est ainsi que les garanties généralement offertes couvrent : le risque de responsabilité civile suite à la propagation de virus, au vol de données confiées par des tiers ; la perte d'exploitation suite à un dommage occasionnant un arrêt partiel ou total de l'activité ; etc.
Aujourd'hui, les attaques informatiques tant au niveau de leur cadence, qu'au niveau des formes complexes et pernicieuses qu'elles prennent, ainsi que les cibles visées ont changé la donne aussi bien pour les Etats que pour les opérateurs économiques. La cybercriminalité a atteint des proportions alarmantes. A côté des systèmes de défense nationale, plusieurs secteurs économiques deviennent potentiellement exposés, mais non pas dans les mêmes proportions. Selon les scénarios d'accumulation des risques développés par le réassureur mondial Suisse Re, le secteur bancaire est le plus menacé, suivi par les centres médicaux et l'assurance. Les techniques utilisées par un cybercriminel sont assez variées et évoluent en fonction des systèmes de sécurité mis en place. Le moyen le plus classique pour pénétrer le système d'information d'une entreprise est l'envoi d'un e-mail piégé ; une fois que celui-ci est ouvert, l'intrusion du virus se fait instantanément et paralyse le système. La « cyber-mafia » est une forme plus dangereuse, puisqu'elle vise à prendre le contrôle de celui-ci dans le but d'exiger des rançons. Le sabotage d'installations industrielles est une autre facette de l'arsenal utilisé et l'on peut, dans ce genre d'attaques, imaginer les conséquences désastreuses financières et humaines, par exemple, d'une paralysie d'un système de navigation aérienne ou de circuits électriques, télécoms, etc.
Face à la recrudescence de tels actes, les assureurs se sont-ils préparés pour protéger les entreprises contre les cyber-risques ?
L'inadaptation de l'approche classique pour appréhender ces nouveaux risques
Le mécanisme de l'assurance repose sur un certain nombre de principes qui devraient être réunis pour qu'un risque soit assurable. La loi des grands nombres est d'une importance extrême pour les assureurs. D'une part, les statistiques qu'ils utilisent pour établir leurs tarifications seront d'autant plus précises et fiables qu'elles porteront sur un grand nombre d'observations. D'autre part, les résultats techniques des assureurs s'équilibreront mieux quand le portefeuille clients est grand. C'est ce principe qui permet une meilleure mutualisation des risques. C'est la raison pour laquelle les compagnies d'assurances excluent presque toujours les risques de guerre et les risques atomiques de leurs garanties.
De même qu'il est admis qu'on ne peut assurer que des risques futurs, non encore réalisés. Mais que dire d'événements dont l'assuré n'a pas connaissance au moment de la souscription de son contrat ? L'on rajoutera que le risque doit être aléatoire, c'est-à-dire que sa réalisation ne doit pas être certaine, mais due au hasard. Enfin, un critère non moins important et observé par l'assureur avant d'accorder sa garantie : c'est celui de la division des risques qui permet d'éviter qu'un sinistre plus important que la moyenne des risques ne mette en péril l'équilibre de la mutualité et partant, la solvabilité de l'assureur. En application de ces règles de base, on peut conclure que les cyber-risques s'y accommodent mal et deviennent théoriquement inassurables. Sur un marché, l'insuffisance des statistiques pour de tels événements, le risque de cumul (donc pas de division de risques) qui est très présent dans les cyber-attaques (les virus informatiques, par exemple, pénétrant un seul ordinateur se transmettent, à partir de celui-ci, à un nombre illimité de PC, d'entreprises ou d'individus dans le monde et en un laps de temps très court) expliquent les difficultés et les hésitations de la plupart des assureurs pour s'aventurer dans ce créneau.
La cyber-assurance : un marché minuscule
Les conséquences matérielles et immatérielles des cyber-attaques sont peu prévisibles et rendent difficile, voire impossible la maitrise du coût moyen et de la fréquence des sinistres, éléments essentiels qui déterminent le calcul de la prime d'assurance.
Aujourd'hui, après une phase d'observation et de connaissance des cyber-risques, quelques compagnies d'assurances mondiales commencent à se positionner sur ce marché du fait de la demande accrue des assurés pour se protéger contre les conséquences de telles attaques. Les principaux risques spécifiques recensés concernent le vol et violation de la confidentialité des données, l'indisponibilité du réseau informatique, les risques médiatiques pour l'entreprise et la cyber-extorsion. La gestion de ce type de risques «émergents » par les assureurs qui ont déjà défriché ce marché s'est avéré coûteuse. Il suffit de rappeler, par exemple, que la cyber-attaque subie par la grande enseigne de distribution américaine Target, lui a coûté 235 M$ dont 90 M$ ont été remboursés par l'assureur. Il en est de même de l'affaire Sony Pictures, qui devrait percevoir 60 M$ de son assureur au titre des préjudices subis suite au piratage de son système informatique en 2014. Le nombre réduit d'acteurs qui opèrent dans le secteur de la cyber-assurance dénote de la timidité et de la peur de s'engager dans un marché à haut risque. Cela explique que, même pour les assureurs qui souscrivent un contrat d'assurance spécifique « Cyber-Risques, plusieurs précautions sont de mise. Evidemment, des montants élevés des franchises et des primes exorbitantes peuvent décourager plus d'un assuré pour acheter de telles garanties.
C'est pour cela, que les assureurs qui doivent doubler d'ingéniosité pour une meilleure connaissance et maitrise de ces risques, investissent énormément dans les dispositifs de prévention, de protection des risques et de leur cartographie. Dans ce cas, avant l'offre d'une cyber-assurance, l'assureur procède à un audit de tous les risques au sein de l'entreprise et propose, grâce à ses experts dans le domaine, les solutions visant la réduction de la probabilité d'attaque et la vulnérabilité des systèmes d'information.
C'est à ce prix que le transfert de ces risques sur l'assureur pourrait être profitable et supportable pour celui-ci et pour l'assuré.


Cliquez ici pour lire l'article depuis sa source.