Les OSE (opérateurs de services essentiels), insuffisamment informés sur les limites et les exclusions des contrats d’assurance cyber ? L’ENISA a recueilli, à ce sujet, des données qui apparaissent contradictoires dans une certaine mesure.
Ils sont 262 OSE – dont 209 officiellement désignés comme tels par la directive NIS – à avoir répondu à l’enquête de l’agence européenne. Deux d’entre eux sont établis en France. La Roumanie et l’Allemagne sont surreprésentées dans l’échantillon, avec respectivement 74 et 37 participants.
Une majorité ont défini des procédures formelles pour qualifier le risque cyber (77 %) et pour choisir les outils destinés à réduire ce risque (72 %). Ils sont en revanche moins nombreux à quantifier le risque (32 %).
Près de trois quarts des OSE interrogés (74 %) n’ont pas souscrit d’assurance cyber. Ce taux est plus élevé en Europe de l’Est (88 %) que sur les plaques sud (61 %) et ouest/nord (55 %). Ils sont par ailleurs peu nombreux à déclarer bénéficier de couvertures potentielles dans le cadre d’autres polices d’assurance non spécifiques (illustration ci-dessous).
Dans le même esprit, moins de la moitié (37 %) ont formellement identifié l’assurance cyber comme un levier effectif de réduction du risque. En parallèle, 56 % considèrent que d’autres outils sont plus efficace. Le prix y est pour beaucoup. C’est en tout cas l’élément que mentionnent le plus les OSE auxquels on a demandé la raison principale pour laquelle ils n’ont pas souscrit.
Chez ceux qui ont souscrit, le processus de sélection de l’assureur a souvent été accompagné par un broker. Peu d’OSE (13 sur 232 interrogés) affirment avoir acquis de la connaissance sur le sujet essentiellement grâce à leurs pairs.
Passé le prix, la réputation de l’assureur apparaît comme le deuxième critère de sélection. Suivent la couverture assurantielle, les clauses spécifiques et le support.
Concernant l’information sur les limites et les exclusions des contrats, ils sont 57 % à estimer qu’elle était claire. Mais dans le même temps, seuls 32 % disent qu’on leur a présenté une liste d’exemples d’événements que leurs polices ne couvriraient pas.
Dans la plupart des cas (88 %), les OSE n’impliquent pas leur CISO dans la décision de prendre une assurance cyber. L’équipe dirigeante l’est bien davantage. Et la finance dans une moindre mesure.
Détenir des certifications a aidé la plupart des OSE souscripteurs à obtenir leur assurance (31 sur 40 répondants). Et, plus rarement, à bénéficier de prix réduits (5/40) ou de couvertures élargies (4/40).
L’assureur fournit plus souvent du support en aval des sinistres (68 % des répondants) qu’en amont (40 %). Quand bien même, dans la pratique, les OSE entretiennent généralement déjà des relations avec des prestataires de réponse aux incidents.
Illustration principale © pickup – Adobe Stock
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
