Les OSE (opérateurs de services essentiels), insuffisamment informés sur les limites et les exclusions des contrats d’assurance cyber ? L’ENISA a recueilli, à ce sujet, des données qui apparaissent contradictoires dans une certaine mesure.
Ils sont 262 OSE – dont 209 officiellement désignés comme tels par la directive NIS – à avoir répondu à l’enquête de l’agence européenne. Deux d’entre eux sont établis en France. La Roumanie et l’Allemagne sont surreprésentées dans l’échantillon, avec respectivement 74 et 37 participants.
Une majorité ont défini des procédures formelles pour qualifier le risque cyber (77 %) et pour choisir les outils destinés à réduire ce risque (72 %). Ils sont en revanche moins nombreux à quantifier le risque (32 %).
Près de trois quarts des OSE interrogés (74 %) n’ont pas souscrit d’assurance cyber. Ce taux est plus élevé en Europe de l’Est (88 %) que sur les plaques sud (61 %) et ouest/nord (55 %). Ils sont par ailleurs peu nombreux à déclarer bénéficier de couvertures potentielles dans le cadre d’autres polices d’assurance non spécifiques (illustration ci-dessous).
Dans le même esprit, moins de la moitié (37 %) ont formellement identifié l’assurance cyber comme un levier effectif de réduction du risque. En parallèle, 56 % considèrent que d’autres outils sont plus efficace. Le prix y est pour beaucoup. C’est en tout cas l’élément que mentionnent le plus les OSE auxquels on a demandé la raison principale pour laquelle ils n’ont pas souscrit.
Chez ceux qui ont souscrit, le processus de sélection de l’assureur a souvent été accompagné par un broker. Peu d’OSE (13 sur 232 interrogés) affirment avoir acquis de la connaissance sur le sujet essentiellement grâce à leurs pairs.
Passé le prix, la réputation de l’assureur apparaît comme le deuxième critère de sélection. Suivent la couverture assurantielle, les clauses spécifiques et le support.
Concernant l’information sur les limites et les exclusions des contrats, ils sont 57 % à estimer qu’elle était claire. Mais dans le même temps, seuls 32 % disent qu’on leur a présenté une liste d’exemples d’événements que leurs polices ne couvriraient pas.
Dans la plupart des cas (88 %), les OSE n’impliquent pas leur CISO dans la décision de prendre une assurance cyber. L’équipe dirigeante l’est bien davantage. Et la finance dans une moindre mesure.
Détenir des certifications a aidé la plupart des OSE souscripteurs à obtenir leur assurance (31 sur 40 répondants). Et, plus rarement, à bénéficier de prix réduits (5/40) ou de couvertures élargies (4/40).
L’assureur fournit plus souvent du support en aval des sinistres (68 % des répondants) qu’en amont (40 %). Quand bien même, dans la pratique, les OSE entretiennent généralement déjà des relations avec des prestataires de réponse aux incidents.
Illustration principale © pickup – Adobe Stock
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
