Lundi de la cybersécurité : La cyber assurance
5 septembre 2023
La cyber assurance, une précaution indispensable ? un investissement nécessaire ?
Vous avez soigneusement cartographié les données numériques de votre entreprise, en fonction de vos processus métiers, des critères de gravité des cyberattaques qui peuvent se produire et des niveaux de vraisemblance que ces cyberattaques se produisent. C’est bien, vous savez donc où mettre vos contre-mesures pour protéger vos informations les plus sensibles, ou celles qui ont le plus d’importance pour la bonne marche de votre organisation.
Vous connaissez ainsi, en principe, les risques réellement couverts. Il reste les risques non couverts, que vous connaissez et que vous acceptez (on ne peut pas tout sécuriser), mais surtout, il reste les risques résiduels que vous ne connaissez pas, ou pas encore. Que faire pour être néanmoins plus tranquille ?
Une cyber assurance est une façon de reporter ce risque résiduel vers un organisme extérieur. Les assureurs mutualisent les risques pesant sur leurs clients, mais évidemment c’est bien plus compliqué et ça valait le coup d’organiser un Lundi de la cybersécurité animé par deux grands experts du domaine.
Je donne la plume à Jean-Pierre Marbaix
La pandémie et les cyberattaques répétées ont montré l’importance de se préparer, notamment via la gestion de crise et les tests de robustesse.
Les entreprises sont de plus en plus victimes de cyber-attaques. Ce phénomène devrait probablement encore s’amplifier en 2023. Dans ce contexte, on pourrait penser que pour un dirigeant assurer son entreprise est primordial.
Toutefois, une dizaine d’années après le début de son déploiement en Europe, le marché de la cyber assurance reste assez peu développé. Essentiellement porté par les grandes entreprises, trop peu de TPE / PME ont pris une couverture d’assurance alors qu’elles sont les plus vulnérables et qu’elles ne disposent pas, le plus souvent, des ressources financières leur permettant de faire face aux conséquences d’une cyber attaque réussie. Comment expliquer ce paradoxe ?
Pour sa part, alors que les conditions semblent propices à son développement, le marché de la Cyber assurance est entré dans un « hard market » depuis 2 ans. Les garanties ont diminué, les exigences de souscription se sont considérablement durcies.
Comment expliquer ce phénomène ? Quelles sont les caractéristiques et conditions d’assurabilité des risques cyber ?
Maillon de la chaîne de valeur de la cybersécurité, l’assurance est un outil incontournable qui concourt à la résilience des entreprises.
Quels sont les défis à relever par les assureurs et les entreprises pour développer ce marché ?
Je donne la plume à Herbert Groscot
Il est communément admis que les entreprises sont responsables des événements indésirables cyber qui leurs tombent dessus : manque d’investissements de la part des dirigeants, faute de la part des DSI ou des RSSI qui, soit dit en passant, ne savent pas se parler etc.
Nous avons déjà rencontré cette attitude par le passé dans le cas de l’automobile durant la première moitié du 20e siècle, on considérait alors que les accidents étaient avant tout dus au mauvais comportement de conducteur.
Concernant le risque cyber, les choses sont en train de changer de l’autre côté de l’Atlantique. Il se pourrait très bien que le gouvernement américain siffle la fin de la récréation dans les deux ans qui viennent. En effet il est inadmissible que des citoyens ne puissent se soigner par suite de l’attaque d’un hôpital, par ailleurs on peut à juste titre s’inquiéter de l’augmentation croissante des ransomwares.
Dans mon exposé je vous expliquerai comment, de mon point de vue, une synergie entre « l’assurance cyber » et « l’ingénierie de la sécurité » devrait apporter un éclairage sur le sujet qui nous préoccupe.
Il s’agit bien d’une notion qui dépasse le seul aspect technique et qui englobe d’autres concepts tels que le fait de pouvoir disposer d’un langage commun entre les différents acteurs de la sécurité, de disposer d’une culture de la sécurité, le concept de « security by design », mais aussi celui de « security by default ».
L’ère où un accident cyber était la faute du RSSI ou du DSI doit ainsi prendre fin. Pour que cela soit possible, la responsabilité des dirigeants doit être plus engagée, ce qui suppose qu’ils disposent des outils et des méthodes pour leur permettre d’assumer leurs responsabilités. C’est dans un tel contexte que l’assurance cyber devrait trouver toute la place qu’elle mérite.
Qui est Jean-Pierre Marbaix ?
Jean-Pierre Marbaix est responsable du pilotage de la prévention des risques IARD Entreprises au sein d’une grande compagnie d’assurance.
Expérience professionnelle de plus de 30 ans dans le domaine du risk management en entreprises et dans le secteur de l’assurance. Formateur en gestion des risques dans plusieurs écoles d’ingénieurs et universités. Membre de groupes de travail sur le thème « Cyber » de France Assureurs et du Campus Cyber la Défense.
Jean-Pierre Marbaix est diplômé du Mastère spécialisé Gestion des risques en établissements et réseaux de santé de l’école Centrale de Paris, il a suivi la 21ème session nationale spécialisée Protection des entreprises et intelligence économique de INHESJ, est certifié ARM (Associate in Risk Management) et diplômé du MBA Management de la cybersécurité de l’Institut Léonard de Vinci.
Il est membre de l’ARCSI et de la réserve citoyenne de la Gendarmerie Nationale
Qui est Herbert Groscot ?
Herbert Groscot est actuaire et ancien élève de l’Ecole Normale Supérieure de Saint-Cloud, et du executive MBA HEC. Il assure un enseignement à l’EPITA sur les mathématiques appliquées à la finance, la sécurité et les statistiques et a participé au groupe de travail Cyber risques de l’Institut des Actuaires Il a participé à la mise en place d’un MBA de cybersécurité.
Après avoir expertisé les fonctions de chiffrement de la carte à mémoire, il a suivi une carrière d’informaticien (R&D sur des problématiques de Systèmes d’Informations du Commandement chez Thalès et SESA, et à la direction de projets sur des problématiques assurantielles à Capgemini).
Depuis une quinzaine d’années il s’intéresse aux problématiques de la gestion des risques.
Quelques minutes avec Martine Giralt, Vice-présidente de l’association InterCERT France
Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé des intervenants et la session questions / réponses, autour de 19h15, nous donnons pour une dizaine de minutes la parole à une organisation, qui opère dans l’écosystème du numérique et dans la sécurité de l’Information.
Ce Lundi, la séquence « La parole à une association » sera animée par Martine Giralt, Vice-présidente de l’association InterCERT France, association loi 1901 qui constitue la première communauté de CSIRT en France.
Un CERT (Computer Emergency Response Team) – également appelé CSIRT (Computer Security Incident Response Team) – est une équipe de réaction aux incidents informatiques.
L’objectif de la communauté InterCERT France est de renforcer la capacité de chaque membre à détecter et à répondre aux incidents de sécurité impactant son périmètre. L’échange d’expérience et le partage d’informations concourent ainsi à la réalisation de cet objectif. InterCERT France n’a pas de vocation commerciale.
Martine Giralt est également Senior Security Manager chez Thales.
Les « Lundi de la cybersécurité »
Organisés par Béatrice Laurent et Gérard Peliks, directeur adjoint du MBA Management de la Cybersécurité De Vinci Executive Education avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.