Accueil   >   LE MAGAZINE   >   Actualité pour la santé, la sécurité et la qualité de vie au travail   >   Assurer le risque cyber : quels enjeux ?

Assurer le risque cyber : quels enjeux ?

cybersécurité
SECURITE DES LIEUX DE TRAVAIL || Cybersécurité
/
28/02/2018

Les entreprises françaises sont encore aujourd’hui insuffisamment couvertes contre le risque cyber, alors que les pertes peuvent être très conséquentes et mettre en cause la survie de l'entreprise.


Aujourd'hui, une entreprise n'a plus de questions à se poser sur l'éventualité ou non de se confronter au risque cyber. Elle l’est chaque jour. De multiples exemples récents illustrent la généralisation de la menace et la nécessité pour tous les secteurs économiques de se mobiliser.

Du point de vue législatif, la loi informatique et liberté de 1978 et celle de programmation militaire pour la période 2014-2019 ont déjà introduit des obligations, tant en matière de sécurité que de protection des données personnelles. L’entrée en vigueur, en mai 2018, du RGDP et de la directive sur la sécurité des réseaux et des systèmes d’information (NIS – Network and Information Security) vient compléter et renforcer cet arsenal juridique.

Les fortes sanctions que pourront désormais infliger les autorités régulatrices (jusqu’à 20M € ou 4% du chiffre d’affaires mondial) en cas de non-notification par les responsables de traitement des violations de données personnelles, vont inciter les entreprises à investir dans la prévention et la protection de leurs systèmes d’information. Elles vont vraisemblablement aussi accélérer le transfert du risque à l’assurance. La « non action » devient désormais une faute de gestion pouvant entraîner la responsabilité d’un dirigeant en cas d’incident cyber impactant significativement les résultats de son entreprise.

L'assurance du risque cyber concerne encore aujord'hui peu d'entreprises en France. Elle a pourtant une double vertu.

D’une part, elle impose à l’entreprise une cartographie de ses risques, une analyse de ses vulnérabilités et une évaluation des enjeux. Ce travail contribue à la prise de conscience de l’exposition au risque cyber et permet d’arbitrer rationnellement entre les dépenses de prévention et protection et celles du transfert du risque à l’assurance.

D’autre part, seule l’assurance pourra protéger l’entreprise contre les pertes qu’une attaque cyber ou qu’une erreur non intentionnelle de manipulation peuvent générer.

Dans ce contexte de risques et de contraintes réglementaires, les assureurs sont amenés à assumer un rôle élargi d’accompagnement des entreprises. Pour un transfert rationnel et éclairé du risque cyber vers l’assurance, la commission cyber risque du Club des Juristes a rédigé dix préconisations pour mieux assurer le risque cyber :

  • A l’attention des assureurs et des gestionnaires de risques, pour accélérer le développement d’une culture du risque cyber, expliquer le contenu des couvertures, renforcer le dialogue et la confiance avec les assurés ;
  • A l’attention des assureurs, réassureurs, de l’ANSSI et de la CNIL, afin de développer un cadre homogène de sécurité numérique, de mutualiser la connaissance des incidents cyber, de mieux appréhender les expositions aux risques et leurs cumuls ;
  • A l’attention des instances européennes, pour définir un ensemble de normes techniques facilitant l’évaluation du niveau de sécurité cyber des entreprises et pour établir les conditions d’une concurrence équitable entre les assureurs cyber ;
  • A l’attention des pouvoirs publics et des investisseurs, pour orienter l’investissement public et privé vers l’émergence d’une filière d’excellence en cyber technologie.

En savoir plus :