Hiscox veut aider les entreprises à évaluer leur risque cyber

Hiscox poursuit ses efforts de sensibilisation aux risques dits cyber. Au printemps, l’assureur britannique misait sur la formation, avec un programme en ligne comportant 11 modules et visant à réduire les risques d’incidents susceptibles de survenir du fait d’erreurs ou de négligences des utilisateurs. Et d’y assortir une carotte : une réduction de franchise significative, sous conditions.

Aujourd’hui, Hiscox fait un pas supplémentaire en mettant en ligne un « calculateur d’exposition aux cyber risques ». Dans un communiqué, l’assureur explique que ce calculateur « a vocation à donner aux entreprises une idée plus précise de leur exposition au risque cyber et de la valeur de leurs données ». Marie-Astrid Pirson, directrice technique de la souscription, souligne qu’il s’agit en particulier de « sensibiliser au potentiel impact financier » que pourrait avoir un incident de sécurité informatique, pour « encourager à réfléchir en amont à la manière de gérer le risque cyber ».

De fait, l’outil n’a pas l’ambition de concurrencer des spécialistes de la quantification de l’exposition au risque comme Bitsight, Cyence, Cyquant, Cyrating, Provadys, ou encore SecurityScorecard et Weakspot. Car il est particulièrement simple et s’appuie sur un minimum de données pour produire une estimation : secteur d’activité, région, et chiffre d’affaires suffisent.

Certes, il est possible d’ajuster certains paramètres, comme la capacité de l’organisation à se protéger, à détecter des attaques, à s’en relever, ou encore le niveau de la menace perçu. Cela dit, comme selon Hiscox lui-même, 81 % des entreprises sont considérées comme des « novices » en sécurité informatique, en France, il est tentant de penser que même le niveau de capacité présenté comme « moyen » par le calculateur n’est pas très élevé.

Le calculateur d’Hiscox ne se contente pas de fournir une estimation globale : celle-ci est ventilée selon les types de risques, entre interruption d’activité, vol de données personnelles, vol d’actifs informationnels, et perte financière. Il fournit également des indications sur les types d’attaques les plus susceptibles de survenir.

Avec humilité, Hiscox souligne que son outil « a été conçu à des fins didactiques » et « ne doit pas être utilisé comme seul argument de base dans une prise de décision ». En somme, il s’agit de se faire une idée, voire tout simplement d’ouvrir les yeux.

Ironie du calendrier, l’assureur Beazley vient parallèlement d’annoncer miser sur Cyence Risk Analytics, de Guidewire, pour mieux évaluer les risques de ses clients, à l’instar de ce qu’avait fait avant lui Allianz, Aon, ou encore Zurich.