Assurance cyber : le cas des opérateurs de services essentiels

Quelle demande pour les assurances cyber en Europe ? L’ENISA donne à voir le phénomène sous le prisme des OSE.

Les OSE (opérateurs de services essentiels), insuffisamment informés sur les limites et les exclusions des contrats d’assurance cyber ? L’ENISA a recueilli, à ce sujet, des données qui apparaissent contradictoires dans une certaine mesure.

Ils sont 262 OSE – dont 209 officiellement désignés comme tels par la directive NIS – à avoir répondu à l’enquête de l’agence européenne. Deux d’entre eux sont établis en France. La Roumanie et l’Allemagne sont surreprésentées dans l’échantillon, avec respectivement 74 et 37 participants.

Une majorité ont défini des procédures formelles pour qualifier le risque cyber (77 %) et pour choisir les outils destinés à réduire ce risque (72 %). Ils sont en revanche moins nombreux à quantifier le risque (32 %).

Près de trois quarts des OSE interrogés (74 %) n’ont pas souscrit d’assurance cyber. Ce taux est plus élevé en Europe de l’Est (88 %) que sur les plaques sud (61 %) et ouest/nord (55 %). Ils sont par ailleurs peu nombreux à déclarer bénéficier de couvertures potentielles dans le cadre d’autres polices d’assurance non spécifiques (illustration ci-dessous).

Dans le même esprit, moins de la moitié (37 %) ont formellement identifié l’assurance cyber comme un levier effectif de réduction du risque. En parallèle, 56 % considèrent que d’autres outils sont plus efficace. Le prix y est pour beaucoup. C’est en tout cas l’élément que mentionnent le plus les OSE auxquels on a demandé la raison principale pour laquelle ils n’ont pas souscrit.

Chez ceux qui ont souscrit, le processus de sélection de l’assureur a souvent été accompagné par un broker. Peu d’OSE (13 sur 232 interrogés) affirment avoir acquis de la connaissance sur le sujet essentiellement grâce à leurs pairs.

Lire aussi : Sécurité du cloud : l’ENISA questionne la responsabilité partagée

Passé le prix, la réputation de l’assureur apparaît comme le deuxième critère de sélection. Suivent la couverture assurantielle, les clauses spécifiques et le support.

Contractualisation : les OSE impliquent peu leurs RSSI

Concernant l’information sur les limites et les exclusions des contrats, ils sont 57 % à estimer qu’elle était claire. Mais dans le même temps, seuls 32 % disent qu’on leur a présenté une liste d’exemples d’événements que leurs polices ne couvriraient pas.

Dans la plupart des cas (88 %), les OSE n’impliquent pas leur CISO dans la décision de prendre une assurance cyber. L’équipe dirigeante l’est bien davantage. Et la finance dans une moindre mesure.

responsable contractualisation — Question posée aux 97 OSE ayant déclaré avoir formellement identifié l’assurance cyber comme levier d’atténuation du risque : « Qui est responsable de la contractualisation ? »

Détenir des certifications a aidé la plupart des OSE souscripteurs à obtenir leur assurance (31 sur 40 répondants). Et, plus rarement, à bénéficier de prix réduits (5/40) ou de couvertures élargies (4/40).

L’assureur fournit plus souvent du support en aval des sinistres (68 % des répondants) qu’en amont (40 %). Quand bien même, dans la pratique, les OSE entretiennent généralement déjà des relations avec des prestataires de réponse aux incidents.

contrat négociable OSE — « Dans quelle mesure le contrat était-il adaptable à votre organisation ? »

Lire aussi : Comment la menace cyber change de forme : le point de vue de l’ENISA