François Brisson (Hiscox) : « Le coût d’une assurance Data Risks est estimé entre 3% et 5% du budget sécurité informatique »
Face à l’évolution des techniques de cybercriminalité, les entreprises sont appelées à repenser leur politique de gestion des risques. François Brisson, responsable marché chez Hiscox France, fait le point.
Pour assurer l’intégrité des leurs données et systèmes d’information, mais aussi lutter contre l’espionnage économique, les entreprises sont amenées à repenser leur approche de la gestion des risques. François Brisson, responsable marché Technologie-Média-Telécom chez Hiscox France, assureur proposant une offre de services (Data Risks) en cas de piratage informatique, fait le point sur le sujet.
Silicon.fr – La prévention, l’innovation technologique et l’intelligence économique sont-elles impuissantes face à la cybercriminalité ?
François Brisson – Non, elles ne sont pas impuissantes, mais face à l’évolution extrêmement rapide des techniques de la cybercriminalité, elles ne peuvent plus être la seule réponse, et doivent aujourd’hui être complétées par une solution globale d’assurance.
Il est en effet essentiel que les entreprises mettent en place une véritable politique de management des risques. Comment ?
I. D’une part, en travaillant sur la prévention des cyberattaques, notamment par :
- une politique de gestion des identifiants et mots de passe ;
- la sensibilisation des employés (diffusion des données de l’entreprise sur des réseaux non sécurisés, signalement immédiat de la perte ou du vol d’un matériel appartenant à l’entreprise, politique de chiffrement des données de l’entreprise accédées en mode nomade (terminaux mobiles, clés USB, etc.)
- l’encadrement du BYOD (sécurisation des terminaux personnels des employés) ;
- un travail de veille technologique sur l’évolution de la cybercriminalité (phishing, watering holes, social engineering, etc.).
À travers les audits et guides de bonnes pratiques, Hiscox aide ses clients à renforcer leur culture interne de la sécurité, tout en respectant les contraintes et impératifs de la vie des affaires de chaque entreprise.
II. D’autre part, en minimisant les conséquences techniques et financières d’une cyberattaque, à la fois par des solutions techniques et par un transfert du risque à un assureur spécialiste :
- Gestion et communication de crise (préserver la réputation de l’entreprise ; gérer son image dans les médias, accompagner les dirigeants dans leur communication) ;
- Indemnisation des pertes d’exploitation subies ;
- Prise en charge des frais d’avocats et de notification (par exemple, en cas d’atteinte aux données de tiers) ;
- Mise à disposition d’un réseau d’experts en sécurité informatique (trouver la faille et la réparer, circonscrire l’attaque, reconstituer les données, remettre en service le système informatique, mise à niveau…)
Hiscox propose une solution complète, qui compte bien sûr un montant de garantie, mais également et surtout des moyens pour ses clients d’externaliser la gestion des conséquences d’une cyberattaque, en recourant aux services d’un réseau de spécialistes reconnus qui vont mettre en place un plan de réponse adapté.
Les politiques de gestion et mutualisation du risque ne sont-elles pas l’apanage de grands groupes ?
Oui, aujourd’hui, mettre en place une politique interne de gestion du risque contre les cyberattaques coûte cher, ce qui rend la démarche moins accessible aux TPE/ PME. Or, ils’avère qu’en 2012, la moitié des cyberattaques a concerné précisément les entreprises de petite et moyenne taille.
Il est donc impératif désormais pour ces entreprises d’investir dans une politique de gestion des risques. Lorsqu’elles font le choix d’une assurance dédiée, c’est la mutualisation de cette gestion de risques qui permet de rendre le coût de cette politique supportable, de créer une culture de la cybersécurité, et d’accéder en cas de cyberattaque aux services de professionnels reconnus.
Quel est le coût moyen d’une assurance contre le piratage, la violation ou la perte de données ?
Chaque client est unique et a la possibilité de moduler l’offre Hiscox en fonction de ses risques et besoins. De manière générale, le coût d’une assurance de ce type est estimé entre 3% et 5% du budget de sécurité informatique d’une entreprise.
Par exemple : un site Internet de vente en ligne de meubles dont le chiffre d’affaires est de 300.000 euros va verser 2.000 euros de prime d’assurance pour une garantie de 500.000 euros par sinistre, et une entreprise de télécom dont le chiffre d’affaires est de 100 millions d’euros devrait payer, après analyse de ses risques, une prime d’environ 50.000 euros pour une garantie de 5 millions d’euros par sinistre.
Comment se distingue l’offre d’Hiscox par rapport à celle d’assureurs et courtiers conseil en gestion des risques ?
Hiscox est un assureur spécialiste de l’IT doté d’une expérience de plus de 25 ans dans le domaine et d’un recul de plus de 5 ans dans l’assurance des risques liés à la cybercriminalité aux États-Unis. Dans le monde, le groupe compte 30 souscripteurs dédiés à 100% au secteur Technologie-Media-Telecom (TMT).
Hiscox compte 20.000 clients – 7.500 en France – dans le secteur technologie en Europe (clôture de 1.000 sinistres TMT par an).
Notre offre se distingue d’autres offres du marché car elle intègre à la fois une dimension préventive (Hiscox n’attend pas qu’il y ait un sinistre pour intervenir, mais propose d’auditer les systèmes de ses assurés dès la souscription de la police) et corrective (accompagnement, après une cyberattaque, par ses équipes et celles d’experts de son réseau).
Cette offre globale de services s’appuie sur un réseau d’experts mis à la disposition des entreprises (avocats, agences, spécialistes de la sécurité informatique). Elle est destinée à protéger les entreprises, détentrices ou responsables du traitement de données, contre les risques liés à l’intégrité de leurs systèmes d’information et données à caractère personnel et/ou sensibles (numéros de carte bancaire ou de sécurité sociale, secrets commerciaux, etc.).
Enfin, l’offre d’Hiscox constitue un moyen de préserver la réputation et la pérennité de l’entreprise face aux menaces que représentent les pirates informatiques, l’espionnage économique ou, éventuellement, ses propres employés…
Voir aussi
