#Coronavirus : Assureurs-Assurés, vers un contrat gagnant-gagnant ?
Comme on peut le lire un peu partout, en nous obligeant à rester confinés, le Coronavirus donne un peu d’air à certains acteurs de notre économie. Mais que se passe-t-il donc sur cette planète ?
Les assureurs l’affirment, le confinement lié au Coronavirus engendre la réduction de la pollution, la chute du nombre d’accidents de la circulation ainsi que les déclarations de sinistres. Irions-nous vers un monde meilleur ?
Rien n’est moins sûr. Le télétravail, organisé à la hâte par les entreprises dans leur plan de continuité d’activités, a fait apparaître un risque très fort de cyberattaques sur les systèmes d’informations les moins préparés à ce type de menaces.
Comment rebondir de manière positive à ce contexte qui nous est imposé ? Comment transformer ces menaces en opportunités, d’une part, pour l’assureur ? D’autre part, pour l’assuré ?
Du côté de l’assureur, afin de se garantir au maximum, il peut demander à un prospect d’effectuer des tests de vulnérabilité (appelé aussi scan de vulnérabilité) sur ses infrastructures pour certifier, au travers des rapports qui en sont tirés, que son système d’information est à jour et faiblement exposé. Dans cette hypothèse, l’assureur peut lui proposer une remise substantielle sur sa prime d’assurance, le risque ayant été réduit, preuve à l’appui, et gagner un nouveau client.
Pour l’assuré, c’est exactement la même chose. Il peut prouver à sa compagnie d’assurance, après avoir fait ses tests de vulnérabilité, qu’il a mis toutes les protections en œuvre pour se préserver autant que faire se peut, des cyberattaques qui vont devenir légion dans les jours à venir… Il peut alors demander à son assureur une réduction de sa prime d’assurance de façon motivée.
Fort de ce sésame, il a l’opportunité de mettre en concurrence son prestataire actuel et le comparer à d’autres offres du marché avec les sécurités qui s’imposent. Bien évidemment, ces échanges d’informations techniques et stratégiques ne peuvent se faire qu’en utilisant des documents protégés, c’est-à-dire cryptés, afin d’éviter toute fuite vers des intelligences malveillantes.
Comment déterminer le ROI de la démarche ?
Commencer par évaluer, et ce en fonction du périmètre du SI, les sommes à investir. On doit budgétiser quelques milliers d’euros pour les plus petites structures et jusqu’à plusieurs millions pour les plus importantes. Il faut prendre en considération la perte de chiffre d’affaires, l’impact sur l’image de marque et la perte d’exploitation que peut engendrer la suspension de l’activité. Ceci doit être mis en perspective en cette période durant laquelle les sociétés sont à la recherche d’activités et de contrats alors qu’elles déjà ont du mal à assurer le peu de production qu’il leur reste.
Il y a quelques temps, une société a été auditée en vue de vérifier sa résilience et il lui a été recommandé en premier ressort de revoir et consolider son annuaire d’entreprise (AD). La remise à niveau de cet annuaire par des spécialistes était estimé à 40k€. Pour de multiples raisons, cette opération n’a pas eu lieu. Depuis, l’entreprise a subi une cyberattaque qui a paralysé son système d’information pendant plusieurs semaines. Bilan final de l’opération : 40M€ de pertes à minima …
Cette démonstration très générale illustre le rapport entre l’investissement nécessaire à la protection de données d’une entreprise et la perte résultant de l’absence d’investissement.
Mais doit-on toujours se réfugier derrière sa police d’assurance qui est censée protéger de « tout » ? Imaginez les chaînes de production, de logistique et de distribution du secteur agroalimentaire français (lait, céréales, sucre, matières grasses, viande, etc.), bloquées par des attaques virales ? Il en résulterait l’absence de produits de première nécessité dans les rayons et une perte de ces matières premières sans transformation rapide. On peut légitimement se poser la question de la gronde potentielle de la rue. (Et surtout une augmentation des prix qui profiteraient exclusivement aux concurrents !)
C’est toujours quand tout va pour le mieux que l’on ne souhaite envisager le pire - et le pire en termes de cyberattaques reste à venir. Attaques de déni de service (DDoS), cryptovirus et rançonwares : ni masque, ni gel hydro-alcoolique ou autre hydroxychloroquine ne pourra les empêcher de pénétrer à l’intérieur de votre système d’information et bloquer le fonctionnement fragile de l’entreprise.
Le marché de la cybersécurité propose aux assureurs et aux assurés un panel d’offres sans limite. Certains éditeurs proposent un prix extravagant et des conditions abusives au prétexte qu’ils se revendiquent leader du marché. D’autres acteurs sont gratuits et dans ce cas méfiez-vous. Le gratuit en sécurité informatique se paye très cher. Enfin, il existe des acteurs qui proposent des solutions sans engagements, pragmatiques et performantes pour des budgets raisonnables. Ces dernières sont souvent bien adaptées aux organisations et bienvenues de la part des équipes opérationnelles. Elles reçoivent alors une analyse audible du risque et savent alors quoi faire pour le réduire considérablement. En définitive, certaines offres de services sont souveraines, et surtout « à la demande ». Elles permettent de fournir à votre assureur ou de demander à votre assuré un bilan de cybersanté.
Le principal avantage de cette offre est qu’elle n’oblige pas à investir des sommes considérables dans des outils rarement exploités intégralement. Elle est donc modulable, adaptée à l’environnement informatique. Elle n’engage à rien sauf à savoir quels sont les gestes barrières à mettre en place pour protéger le système d’information.
Mesdames, Messieurs les Directeurs(trices) Financiers, les Directeurs(trices) des Systèmes, d’Information, les Directeurs(trices) Juridiques : vous qui êtes les garants des risques de l’entreprise, posez clairement l’exigence d’un bilan de santé de votre SI. C’est nécessaire pour comprendre ce qu’il faut faire et dans quel ordre. Ceux qui prétende dire que tout va bien représente un danger certains. Les Directions Générales ne reprocheront jamais à quiconque d’avoir protégé la production de l’entreprise. C’est une question responsable, tout simplement.