Nederlands | Français Belgium

Les risques cybernétiques contraindront-ils les entreprises à une mutualisation sectorielle ?

L'enquête Aon montre que 25 % seulement des entreprises sont convaincues de satisfaire aux normes internationales en matière de sécurité des informations

Bruxelles, le 17 mai 2016 - L'enquête internationale du courtier en assurances et conseiller en risques Aon révèle que l'interruption des activités est le risque le plus craint par les entreprises. L'étude montre que 25 % seulement des entreprises sont convaincues de satisfaire aux « meilleures pratiques et normes internationales en matière de sécurité des informations », malgré des menaces cybernétiques en hausse et de plus en plus sérieuses. Etonnamment peu d'entreprises (59 %) s'avèrent faire effectuer une analyse des risques cybernétiques avant de décider de contracter ou non une assurance en matière de risques cybernétiques. Néanmoins, la moitié admet qu'une analyse des risques indépendante serait une aide précieuse.

Objectif de l'étude
Cette première étude cybernétique a été effectuée par Aon afin d'avoir une meilleure compréhension et une meilleure vision de l'attitude actuelle des entreprises face aux menaces cybernétiques, aux analyses de risques, aux assurances et aux règlements de sinistres. En raison de la nature rapidement changeante des menaces cybernétiques, les mécanismes de sécurité techniques ont souvent un temps de retard. De plus, les attaques cybernétiques ne se limitent plus aux réseaux et aux données personnelles, mais elles ont également un impact sur les réseaux électriques, les lignes d'assemblage, les moyens de transport, etc. Encore une fois, tout ceci est facilité par l’Internet des objets ('the Internet of Things' - IOT).

Principaux constats
L'interruption des activités par un incident cybernétique semble être la préoccupation majeure du monde des entreprises. La dépendance à l'égard des activités IT qui dirigent les flux au sein des entreprises n'y est pas étrangère. Alors qu'auparavant une interruption avait principalement une cause physique (catastrophe naturelle, panne d'électricité...), elle est désormais de plus en plus souvent la conséquence d'incidents cybernétiques, avec les pertes de chiffre d'affaires et de bénéfices correspondantes, voire des dommages causés à la réputation de l'entreprise.

Toutefois, 40 % à peine des grandes entreprises ont contracté une assurance en matière de risques cybernétiques. La situation est moins préoccupante dans les petites entreprises (55 %) mais elles sont probablement influencées par le fait qu'elles disposent de moins de sécurité IT. Les entreprises qui disposent de données critiques (comme le secteur financier et le secteur de la santé) sont une exception, avec un peu plus de 70 % ayant souscrit une assurance. Ces dernières années, elles ont également été la cible d'attaques cybernétiques à plusieurs reprises. Parmi les entreprises qui possèdent une assurance en matière de risques cybernétiques, 68 % le font pour couvrir les pertes découlant d'une interruption des activités de l'entreprise. En second lieu (58 %), elles le font pour assurer la responsabilité de l'administrateur et du management.

Herman Kerremans, Chief Broking Officer & Managing Director Specialties Aon Belgium, ajoute : « Nous constatons qu'il existe dans les entreprises un grand décalage entre la conscience de l'augmentation et de l'impact des risques cybernétiques, d'une part, et l'identification des risques propres à l'entreprise ainsi que l'association aux polices d'assurance exigées, d'autre part. »

L'assurance en matière de risques cybernétiques n'est pas encore à maturité
Les assurances en matière de risques cybernétiques n'existent que depuis une quinzaine d'années. Comme ces polices ne couvrent pas en règle générale les dommages causés aux biens tangibles mais visent plutôt la perte de données, l'arrêt d'entreprise, les plaintes, etc., leur objet est beaucoup plus abstrait et difficile à saisir que pour une police incendie ou responsabilité civile classique. Nous pouvons alors très rapidement nous demander si ces polices indemniseront efficacement les dommages causés par les incidents cybernétiques. De nombreux experts des assurances traditionnelles reconnaissent que la tendance actuelle en matière de risques cybernétiques les dépasse. D'autre part, 95 % des entreprises demandent des conditions de polices plus claires. Cette demande revêt une importance cruciale pour les assureurs qui attendent une augmentation des litiges concernant les couvertures et des demandes en matière de risque cybernétique. Il est essentiel que le secteur des assurances prenne l'initiative, en collaboration avec des courtiers et des experts en sinistres, d'acquérir une meilleure compréhension des besoins futurs en assurance afin de pouvoir formuler des conditions de police claires.

L'assurance mutualisation sectorielle, une réponse possible ?
L'étude d'Aon révèle que 94 % des entreprises sont prêtes à partager les risques avec leurs homologues du secteur et, en d'autres termes, qu'elles peuvent se retrouver dans une solution sectorielle par le biais d'un assureur mutuel ou captif (un 'captif' est une compagnie d'assurance ou de réassurance qui s'occupe en premier lieu de l'acceptation de risques de ces entreprises mêmes, en tant que filiale d'une entreprise ou d'un groupement d'entreprises). Ainsi, les entreprises pourraient avoir une meilleure idée du degré de couverture, des demandes possibles et peuvent également partager les unes avec les autres les meilleures pratiques et normes en matière de protection des informations.

A propos de la Captive Cyber Survey 2016 d'Aon
La Captive Cyber Survey 2016 d'Aon offre une analyse des principales préoccupations en matière de risques cybernétiques, de l'approche possible de l'analyse des risques des organisations vis-à-vis des assurances en matière de risques cybernétiques ainsi que de la couverture et de la structure des polices. L'étude, réalisée pour la première fois à l'automne 2015, a rassemblé la contribution à ce propos des managers en matière de risque et des administrateurs de plus de 125 compagnies d'assurance captives.

Ces conclusions permettront aux organisations d’avoir une meilleure compréhension de la menace croissante que constituent les risques cybernétiques, elles pourront tester leur propre gestion des risques par rapport à la pratique courante et identifier une approche qui augmentera leur réactivité en cas d'incident cybernétique.