COP29 : Le Maroc signe une participation remarquable    Investissement: Zidane en roadshow au Japon et en Corée pour promouvoir la destination Maroc    Aéroport Mohammed V de Casablanca : Ram réceptionne son dixième Boeing 787-9 Dreamliner    Change : le dirham quasi-stable face à l'euro, se déprécie devant le dollar    Le Maroc augmente son quota de l'espadon de l'Atlantique-Nord et du thon obèse    La Chine prévoit de passer de la 5G à la 5G-A    Les programmes d'inclusion économique ne touchent que 10% des personnes les plus pauvres du monde    COP29: 300 milliards de dollars par an pour financer l'adaptation climatique des pays en développement    Terrorisme : Le Maroc dans le viseur des jihadistes sahéliens    Pologne : Les agriculteurs bloquent un poste-frontalier avec l'Ukraine    Inondations en Espagne: la solidarité du Maroc témoigne de l'esprit de coopération liant les deux pays    PL : City humilié pour la 5e fois d'affilée (vidéos) !    Qualifs. Fiba Afro basket 25 : L'Equipe nationale s'incline pour la 3e fois !    Liga : Trois personnes arrêtées pour des insultes racistes lors du dernier « Clasico »    Grippe aviaire aux Etats-Unis: un premier cas détecté chez un enfant    Températures prévues pour le lundi 25 novembre 2024    Enquête : Les réseaux sociaux, nouvel outil d'éducation aux droits de l'enfant    AAHS : Un pôle d'innovation et de coopération au cœur de Dakhla    Températures prévues pour le dimanche 24 novembre 2024    Rabat : Visa For Music, une clôture au diapason des cultures du monde    MAGAZINE : Starlight, des jurés à juger    Cinéma : Mohamed Khouyi, un éclat marocain au Festival du Caire    Atlas Marine va bientôt lancer une ligne maritime pour transporter des camions avec chauffeurs entre Agadir et Dakar    M. Motsepe se prononce sur le football féminin et le rôle du Maroc dans le développement du football en Afrique    Lamia Boumehdi conduit le TP Mazembe vers son 1er sacre    Un derby stérile, à l'image du championnat    Création d'un réseau Maroc-Mauritanie de centres d'études et de recherches    La justice allemande confirme que Berlin a divulgué à Mohamed Hajib, un ancien terroriste, des renseignements sensibles transmises par les services sécuritaires marocains    China Energy Construction s'occupera officiellement de la section 9 de la ligne à grande vitesse Kénitra-Marrakech pour 2,4 milliards de dirhams    SAR le Prince Héritier Moulay El Hassan reçoit à Casablanca le Président chinois    Europe 1 : «L'arrestation de Boualem Sansal est l'occasion d'un réveil face aux réalités du régime algérien»    Coup d'envoi de 5 centres de santé dans la région de Dakhla-Oued Eddahab    Royal Air Maroc accueille un nouveau Boeing 787-9 Dreamliner pour renforcer ses long-courriers    Arrestation à Khémisset d'un individu pour ivresse publique, menaces et mise en danger de la vie d'autrui    Amadou Lamine Diouf, non-voyant résidant au Maroc, élu député des Sénégalais de l'Afrique du Nord    Grogne contre la LNFP et appels à la protestation    Harry James Richer : «un impératif stratégique»    AfroBasket 2025 : deuxième défaite consécutive du Maroc    Plus de 50 morts au Liban, Biden s'oppose à la CPI et soutient les criminels sionistes    Triomphe à la Palestine !    Diaspo #364 : Hasnaa Chihab, une vie consacrée au soutien des migrants et réfugiés en Italie    CMGP Group franchit le pas    CAN U20 : Le Maroc bat la Libye (4-0), valide son billet    Un hub des artistes et des professionnels de la filière musicale africaine    Les arts, l'avenir et les enjeux de l'IA...    Speed-meetings : le sésame des artistes à Visa For Music    Mohamed Khouyi remporte le prix du meilleur acteur au CIFF    Bensaid : Le théâtre, vecteur de la culture marocaine à l'international    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Quelles couvertures d'assurance pour les cyber-risques ?
Publié dans Challenge le 22 - 05 - 2015

Dans un monde de plus en plus dématérialisé, les entreprises font face, aujourd'hui, à des défis et à des contraintes d'un genre nouveau. L'utilisation des technologies de l'information, leur interconnexion tout en offrant une certaine quiétude dans la gestion a ouvert, en parallèle, de nouvelles brèches aux cyber-attaques causant des pertes considérables pour l'économie. La nature de ces risques et l'ampleur des dommages qui en découlent les rendent-ils assurables ? La « cyber-assurance» s'est-elle bien préparée pour la protection et la prévention de ces nouveaux risques qui guettent le patrimoine informationnel des entreprises ? par Abdelfettah Alami
Quelle que soit sa taille, toute entreprise est aujourd'hui exposée aux cyber-risques. L'actualité récente montre que même les gros groupes industriels étaient mal préparés contre les nouvelles formes de ces attaques. Les sinistres les plus spectaculaires recensés récemment, entre 2013 et 2015 ont mis à nu le niveau de sécurité mis en place. Target, eBay, Sony Pictures, Orange, TV5 Monde et Ryanair, victimes d'actes de hackers ayant intégré leurs systèmes d'information et occasionnant soit la perte de données des clients, soit un transfert frauduleux de fonds, ou soit carrément le blocage de l'activité de l'entreprise, illustrent ce phénomène.
De façon générale, le nombre de victimes et le coût de tels dommages explosent. Selon certaines estimations, en 2013, 42,8 millions de cyber-attaques ont été recensées et 740 millions de données ont été subtilisées. Les vols de données, espionnages et autres cyber-risques auraient coûté entre 300 et 1.000 milliards de dollars.
De la sécurité informatique à la cyber-sécurité
L'on sait depuis toujours, que la protection des données informatiques faisait partie des préoccupations de chaque chef d'entreprise. Le verrouillage et le contrôle de l'accès aux différents programmes, le renforcement des règles internes de sécurité étaient intégrés dans les budgets d'investissement informatiques des entreprises ; d'ailleurs, on parlait, à l'origine de logiciels et procédures de « sécurité informatique » traitant du bon usage du système d'information pour éviter des comportements irrationnels ou malveillants. En parallèle, les risques encourus, jusqu'aux années 2000 concernaient principalement des virus susceptibles d'affecter le système. Les responsables de tels actes étaient plutôt des « amateurs » propulsés beaucoup plus par l'aventure et le défi d'un exploit informatique dans des milieux réputés inviolables, que par une volonté de nuire.
C'est pour cette raison que l'assurance des risques informatiques faisait partie des risques classiques, comme l'étaient les autres couvertures et produits commercialisés par les compagnies d'assurances. C'est ainsi que les garanties généralement offertes couvrent : le risque de responsabilité civile suite à la propagation de virus, au vol de données confiées par des tiers ; la perte d'exploitation suite à un dommage occasionnant un arrêt partiel ou total de l'activité ; etc.
Aujourd'hui, les attaques informatiques tant au niveau de leur cadence, qu'au niveau des formes complexes et pernicieuses qu'elles prennent, ainsi que les cibles visées ont changé la donne aussi bien pour les Etats que pour les opérateurs économiques. La cybercriminalité a atteint des proportions alarmantes. A côté des systèmes de défense nationale, plusieurs secteurs économiques deviennent potentiellement exposés, mais non pas dans les mêmes proportions. Selon les scénarios d'accumulation des risques développés par le réassureur mondial Suisse Re, le secteur bancaire est le plus menacé, suivi par les centres médicaux et l'assurance. Les techniques utilisées par un cybercriminel sont assez variées et évoluent en fonction des systèmes de sécurité mis en place. Le moyen le plus classique pour pénétrer le système d'information d'une entreprise est l'envoi d'un e-mail piégé ; une fois que celui-ci est ouvert, l'intrusion du virus se fait instantanément et paralyse le système. La « cyber-mafia » est une forme plus dangereuse, puisqu'elle vise à prendre le contrôle de celui-ci dans le but d'exiger des rançons. Le sabotage d'installations industrielles est une autre facette de l'arsenal utilisé et l'on peut, dans ce genre d'attaques, imaginer les conséquences désastreuses financières et humaines, par exemple, d'une paralysie d'un système de navigation aérienne ou de circuits électriques, télécoms, etc.
Face à la recrudescence de tels actes, les assureurs se sont-ils préparés pour protéger les entreprises contre les cyber-risques ?
L'inadaptation de l'approche classique pour appréhender ces nouveaux risques
Le mécanisme de l'assurance repose sur un certain nombre de principes qui devraient être réunis pour qu'un risque soit assurable. La loi des grands nombres est d'une importance extrême pour les assureurs. D'une part, les statistiques qu'ils utilisent pour établir leurs tarifications seront d'autant plus précises et fiables qu'elles porteront sur un grand nombre d'observations. D'autre part, les résultats techniques des assureurs s'équilibreront mieux quand le portefeuille clients est grand. C'est ce principe qui permet une meilleure mutualisation des risques. C'est la raison pour laquelle les compagnies d'assurances excluent presque toujours les risques de guerre et les risques atomiques de leurs garanties.
De même qu'il est admis qu'on ne peut assurer que des risques futurs, non encore réalisés. Mais que dire d'événements dont l'assuré n'a pas connaissance au moment de la souscription de son contrat ? L'on rajoutera que le risque doit être aléatoire, c'est-à-dire que sa réalisation ne doit pas être certaine, mais due au hasard. Enfin, un critère non moins important et observé par l'assureur avant d'accorder sa garantie : c'est celui de la division des risques qui permet d'éviter qu'un sinistre plus important que la moyenne des risques ne mette en péril l'équilibre de la mutualité et partant, la solvabilité de l'assureur. En application de ces règles de base, on peut conclure que les cyber-risques s'y accommodent mal et deviennent théoriquement inassurables. Sur un marché, l'insuffisance des statistiques pour de tels événements, le risque de cumul (donc pas de division de risques) qui est très présent dans les cyber-attaques (les virus informatiques, par exemple, pénétrant un seul ordinateur se transmettent, à partir de celui-ci, à un nombre illimité de PC, d'entreprises ou d'individus dans le monde et en un laps de temps très court) expliquent les difficultés et les hésitations de la plupart des assureurs pour s'aventurer dans ce créneau.
La cyber-assurance : un marché minuscule
Les conséquences matérielles et immatérielles des cyber-attaques sont peu prévisibles et rendent difficile, voire impossible la maitrise du coût moyen et de la fréquence des sinistres, éléments essentiels qui déterminent le calcul de la prime d'assurance.
Aujourd'hui, après une phase d'observation et de connaissance des cyber-risques, quelques compagnies d'assurances mondiales commencent à se positionner sur ce marché du fait de la demande accrue des assurés pour se protéger contre les conséquences de telles attaques. Les principaux risques spécifiques recensés concernent le vol et violation de la confidentialité des données, l'indisponibilité du réseau informatique, les risques médiatiques pour l'entreprise et la cyber-extorsion. La gestion de ce type de risques «émergents » par les assureurs qui ont déjà défriché ce marché s'est avéré coûteuse. Il suffit de rappeler, par exemple, que la cyber-attaque subie par la grande enseigne de distribution américaine Target, lui a coûté 235 M$ dont 90 M$ ont été remboursés par l'assureur. Il en est de même de l'affaire Sony Pictures, qui devrait percevoir 60 M$ de son assureur au titre des préjudices subis suite au piratage de son système informatique en 2014. Le nombre réduit d'acteurs qui opèrent dans le secteur de la cyber-assurance dénote de la timidité et de la peur de s'engager dans un marché à haut risque. Cela explique que, même pour les assureurs qui souscrivent un contrat d'assurance spécifique « Cyber-Risques, plusieurs précautions sont de mise. Evidemment, des montants élevés des franchises et des primes exorbitantes peuvent décourager plus d'un assuré pour acheter de telles garanties.
C'est pour cela, que les assureurs qui doivent doubler d'ingéniosité pour une meilleure connaissance et maitrise de ces risques, investissent énormément dans les dispositifs de prévention, de protection des risques et de leur cartographie. Dans ce cas, avant l'offre d'une cyber-assurance, l'assureur procède à un audit de tous les risques au sein de l'entreprise et propose, grâce à ses experts dans le domaine, les solutions visant la réduction de la probabilité d'attaque et la vulnérabilité des systèmes d'information.
C'est à ce prix que le transfert de ces risques sur l'assureur pourrait être profitable et supportable pour celui-ci et pour l'assuré.


Cliquez ici pour lire l'article depuis sa source.