François Brisson, Hiscox : L’assurance est indispensable pour réduire les risques sur les données

Hiscox, assureur spécialiste notamment IT et btob dans les risques liés aux nouvelles technologies, propose une offre contre la cybercriminalité depuis 6 ans aux Etats-Unis et depuis 2011 en France. Plus de 1000 sinistres Technologie-Média-Télécom sont instruits par Hiscox chaque année dans le monde. En France, Hiscox compte plus de 7500 clients IT. François Brisson, Responsable Marché Technologie-Média-Télécom pour l’assureur revient avec nous sur les enjeux nouveaux posés par le cloud computing et la mobilité.

LeMagIT : L’émergence du cloud computing induit-elle de nouveaux risques à couvrir en termes de technologie ?

François Brisson : Du point de vue de l’assureur, le risque associé au cloud computing est le même que celui lié à toute opération d’outsourcing. Pour les SSII, il s’agit avant tout d’un problème de responsabilité civile, mais avec le cloud computing, un problème propre à la protection des données s’ajoute. Grâce à notre offre destinée à protéger les entreprises des risques liés à l’intégrité de leurs SI et de leurs données à caractère sensibles ou personnelles (numéros de CB ou sécurité sociale, secrets commerciaux, etc.), nous proposons des garanties responsabilité civile mais également des garanties dommages qui couvrent tous les frais liés aux pertes de données : frais d’expertise IT, frais de notification, credit monitoring, perte de chiffres d’affaires, frais d’avocats, frais d’agence de communication pour préserver la réputation de l’entreprise.

Au-delà du cloud computing, la mobilité a très largement accentué les risques d’autant plus que la sécurité de base – mot de passe - sur ces produits est généralement assez faible. Il faut savoir que plus d’une centaine d’appareils mobiles (téléphones, ordinateurs, tablettes…) sont volés chaque semaine à Roissy principalement lors de voyages d’affaires. Le but n’est pas seulement de voler l’appareil mobile mais bien de dérober les données qu’il contient ainsi que de permettre leur exploitation par des groupes très organisés.

LeMagIT : La directive européenne sur la protection des données prévoit désormais la notification obligatoire en cas de pertes de données. Quel peut être le rôle de ce texte sur le marché de l’assurance informatique ?

François Brisson : La directive européenne du 24 août 2011 introduit pour la première fois en France l’obligation de notification en cas de pertes de données pour certaines entreprises. En effet, en France, seuls les FAI et les opérateurs télécoms ont actuellement une obligation de notification auprès de la Cnil. D’ici fin 2014, cette obligation devrait être étendue à l’ensemble des entreprises responsables du traitement de données et/ou en possession de données à caractère personnel et sensible.

Les entreprises françaises devraient supporter de nouveaux coûts tels que les frais de notification ou de veille, que notre offre Data Risks by Hiscox couvre notamment. A terme, elles se retrouveront dans la même situation que les entreprises américaines en cas de violations de données et devront s’assurer quasiment obligatoirement. D’ailleurs, elles commencent à comprendre qu’il vaut mieux anticiper cette réglementation afin d’obtenir une couverture efficace à un meilleur prix.

L’assurance est le nouvel outil indispensable de gestion de risque pour réduire ou transférer les risques liés à une perte de données. A l’échelle de l’économie de l’entreprise, les données sont un carburant stratégique et il convient donc de les protéger.

LeMagIT : On assiste donc à un fort développement de ce marché et des offres attenantes ?

François Brisson : Sur le marché français des assurances contre la cybercriminalité, nous étions encore les seuls il y a tout juste un an mais aujourd’hui on compte trois ou quatre spécialistes, notamment venus des États-Unis où le cadre réglementaire a favorisé le développement de l’offre.

Le marché est encore émergent en France mais depuis quelques mois nous recevons une quinzaine de demandes de devis par semaine tant de la part des grands comptes que des PME. Tous les secteurs sont concernés même si l’E-commerce, l’Hospitality (transport, tourisme, hôtellerie, voyage…), le commerce de détail et la grande distribution sont plus demandeurs. La santé est également un marché clé, même s’il n’existe pas aujourd’hui d’obligation légale de couverture en dépit des risques liés à la multiplication des bases de données personnelles (données bancaires, diagnostic médical, etc.) et au développement des SI. À ce jour, l’assurance responsabilité civile des structures médicales n’intègre pas le risque de hacking alors qu’un vol de données pourrait remettre en question leur certification.

Nous sommes également consultés pour assurer les entreprises innovantes contre les risques liés à l’intelligence économique (espionnage). En effet, la propriété intellectuelle doit être protégée au-delà des seuls brevets et l’assurance contre le vol de données numériques dans les secteurs technologiques à valeur ajoutée est un élément clé de cette protection.

LeMagIT : L’offre technologique informatique est particulièrement évolutive, comment une compagnie telle que la vôtre accompagne-t-elle ses clients dans leur effort permanent de mise à jour informatique ?

François Brisson : Nous commercialisons nos contrats d’assurance via des courtiers spécialisés, notamment en IT, qui appréhendent plus facilement ces risques dépassant nettement le seul service informatique. Comme il s’agit d’une nouvelle problématique, ils savent faire preuve de pédagogie ce qui est nécessaire en matière de cybercriminalité.

Nous avons développé une approche globale : Data Risks by Hiscox est à la fois une solution préventive et corrective. En amont, Hiscox propose un audit sur différents points pour valider les systèmes existants et  proposer des améliorations si nécessaire. Si un minimum de sécurité n’est pas établi par l’entreprise, les primes et les niveaux de franchise sont fortement impactés : il est alors difficile de proposer un contrat d’assurance aux meilleures conditions.

Hiscox offre ensuite une couverture globale de services intégrant à la fois la responsabilité civile et la couverture des dommages, liés à un vol ou à une négligence des employés par exemple.  Au-delà de la couverture pécuniaire du risque, nous mettons en place un processus de gestion de sinistre complet et très réactif allant jusqu’à gérer les conséquences sur l’e-réputation de l’entreprise victime. Nous pouvons accompagner nos assurés partout dans le monde, notamment aux États-Unis et en Allemagne où la législation est plus sévère.

Nous proposons une offre à géométrie variable avec des garanties et des franchises que nous adaptons en fonction des risques inhérents à l’activité de l’entreprise. Le besoin de conseils des entreprises est élevé car le risque à couvrir - les données - est leur cœur de métier ou n’est pas géré en interne en cas d’absence de DSI, par exemple dans les PME.

LeMagIT : En matière d’Assurance le client établit souvent un calcul coût contre coût. A combien et surtout comment s’évalue le coût dans le cadre d’une cyberattaque visant à récupérer des données ?

François Brisson : Concernant les prix, nous présentons des offres adhoc mais pour calculer le montant des primes, les indicateurs les plus fréquemment utilisés sont le chiffre d’affaires, le volume des transactions, l’exposition au risque USA, la sécurité du SI et son éventuelle conformité à l’ISO 27 001 ou au standard PCI DSS. Par exemple, un opérateur télécom qui réalise un chiffre d’affaires de 100 millions d’euros pourrait s’acquitter d’une prime d’assurance annuelle de 50 000 € pour une garantie de 5 millions d’euros par sinistre. Mais les primes d’assurance peuvent débuter dès 2 500 euros par an.

En France, selon les chiffres fournis par l’éditeur spécialisé Symantec, le coût imputable au hacking ou à la cybercriminalité est en augmentation constante. En 2011, le prix d’un retour à la situation antérieure suite à une attaque, a augmenté de 16% en un an seulement. En France, le coût moyen d’un hacking pour une entreprise s’établit désormais autour de 2,5 million d’euros, soit un coût de 125 € par donnée hackée. Mais ce chiffre est régulièrement révisé à la hausse notamment à cause du risque croissant de recours juridique et des obligations légales nouvelles. Pour vous donner un ordre d’idée, en Californie à cause notamment des recours possibles, le coût par donnée hackée est estimé par les tribunaux autour d’une somme forfaitaire de 1 000 $.

En France, les entreprises craignent pour leur réputation si elles évoquent un hacking qu’elles auraient subies, même si lutter contre des attaques fait partie du quotidien des services de sécurité informatique des grandes entreprises. Face à la cybercriminalité, les entreprises doivent sortir du silence : intégrer l’assurance dans leur politique de gestion des risques va leur permettre d’anticiper les coûts et de transférer ces risques.