Cyber-assurance: Generali protège les PME face aux risques numériques

CloudRisquesSécurité
generali-assurance-cyber

Generali s’associe à Europ Assistance et Ineo (Engie) pour prendre position sur le marché des assurances contre les cyber-risques visant les TPE-PME.

« On n’est pas dans une analyse 100 % satisfaisante et forcément, au fur et à mesure, notre tarif peut évoluer, à la hausse comme à la baisse ».

Directeur de la souscription des risques spécialisés chez Generali France, Bernard Duterque est formel : le manque de données historiques complique l’estimation de la prime à payer* dans le cadre de l’offre « Protection Numérique » que la compagnie d’assurance a lancée le 8 mars dernier.

Sur « plus de 200 devis » établis depuis lors, la cotisation moyenne est dans la fourchette de 1 000 à 1 100 euros TTC par an.

« On a des niveaux de scoring différents et effectivement, […] celui qui fait une seule sauvegarde toutes les semaines paiera sans doute plus cher que celui qui fait une sauvegarde tous les jours », ajoute Bernard Duterque.

L’existence d’un système de backup  (sauvegarde) et sa fréquence de mise en œuvre constituent un critère qu’on pourrait qualifier d’« éliminatoire » pour les TPE-PME qui souhaiteraient souscrire cette offre « Protection Numérique » associant assistance, réparation et indemnisation face aux risques cyber.

Un partenaire technique

En France, le marché pour ce type d’assurances commence à se structurer. Il a pesé, l’an dernier, 50 millions de dollars de primes… contre 3 milliards aux États-Unis, d’après les données de la Fédération française de l’assurance.

Sa croissance pourrait s’accélérer avec l’entrée en application, le 24 mai 2018, du nouveau cadre juridique européen sur la protection des données (RGPD).

L’une des dispositions du texte renforce l’obligation de notification en cas d’atteinte à des informations à caractère personnel.

Les entreprises auront en l’occurrence, à partir du moment où elles prendront connaissance de l’incident, 72 heures pour informer les autorités ainsi que les personnes physiques concernées, sous peine d’une sanction pécuniaire pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le montant le plus élevé est retenu).

Generali a intégré cette problématique dans sa stratégie, en proposant notamment un accompagnement des démarches auprès de la CNIL.

Ce volet, l’assureur ne prend pas directement en charge. À l’image d’Allianz et d’AXA, qui se sont respectivement associés à Thales et Cassidian (ou plus récemment Hiscox qui s’est rapproché de Provadys pour cibler les laboratoires de biologie médicale), il s’est attaché le concours d’un partenaire technique : Ineo, filiale à 100 % d’Engie (ex-GDF Suez).

Premier contact

Fondé au début des années 2000, Ineo était historiquement spécialisé dans le génie électrique. Sous la houlette du directeur adjoint Jean-Louis Marcucci, ses activités s’étendent progressivement au digital, entre les villes et territoires connectés, le bâtiment intelligent et l’industrie.

Son maillage du territoire national – 15 000 personnes réparties sur 300 sites – permet à Generali de garantir, avec l’offre « Protection Numérique », un délai d’intervention maximal sur site de 4 à 8 heures.

Pour le client, le point de contact unique s’appelle Europ Assistance. La filiale du groupe Generali réalise un premier diagnostic et assure ensuite la mise en relation avec Ineo.

Elle dépêche également un « gestionnaire de crise » qui va identifier les zones de risques et déterminer si des actions telles qu’un plan de communication sont nécessaires.

Sur la partie technique, Ineo intervient de la qualification des incidents à la reprise d’activité, au travers de prestations allant jusqu’à la surveillance du darkweb après un vol de données.

Ransomware et psychologie

Troisième maillon, Generali indemnise, sur le même modèle que l’essentiel des assureurs positionnés sur ce marché, les dommages (frais d’expertise et de remédiation, coûts liés à la reconstitution des données…) ainsi que la responsabilité civile (réclamation de tiers, enquêtes administratives…).

Dans la pratique, quels risques sont couverts ? « Il faut raisonner en termes de conséquences », affirme Bernard Duterque.

Le cas du phishing illustre cette subtilité. Si un employé ouvre un lien ou un document malveillant qui entraîne la propagation d’un virus, Generali prend en charge le dédommagement.

Si, en revanche, l’outil informatique n’est utilisé que comme « support » à des fins d’attaques dites « psychologiques » pour détourner des biens ou des valeurs, on tombe dans le domaine de la fraude, couvert par d’autres polices d’assurance.

Sur le volet des ransomware (rançongiciels), Generali accepte d’indemniser les conséquences matérielles du dommage mais se refuse à couvrir les sommes que l’entreprise aurait versées au pirate pour se libérer de ce parasite. Entre autres parce que le logiciel malveillant, malgré les apparences, peut « rester en veille » dans le système d’information et resurgir après plusieurs mois.

Et demain ?

L’engagement s’exprime en termes de moyens ; pas de résultats. « On ne sait pas quelle attaque arrivera demain », explique Laurent Saint-Yves.

Le responsable cybersécurité d’Ineo, par ailleurs membre du Clusif et de l’Anssi, aura multiplié, le temps d’un point presse, les références à des études qui tendent à démontrer les risques auxquels les PME s’exposent aujourd’hui.

Ainsi représenteraient-elles, d’après l’Internet Security Report 2016 de Symantec, 77 % des victimes d’attaques numériques en France.

Dans cet esprit, Generali compte étoffer son offre avec des solutions de prévention. Il est tout particulièrement question d’une plateforme e-learning qui compléterait le guide de bonnes pratiques remis à la souscription.

Quels objectifs dans la « cyberassurance » ? Pour Bernard Duterque, dans un horizon de 5 à 10 ans, le volume de primes pourrait atteindre, voire dépasser celui de l’assurance incendie ou de la responsabilité civile.

En l’état, seule une infime proportion des PME françaises (2 à 4 %) seraient titulaires d’un contrat contre les cyber-risques.

* Certains facteurs sont particulièrement difficiles à quantifier, à l’image du risque réputation et de la responsabilité en cascade. Les données qui commencent à remonter des États-Unis apportent un éclairage. Sur la responsabilité civile, les estimations se font par analogie avec les polices d’assurance existantes.

Photo d’illustration : de gauche à droite, Béatrice Ogée (Europ Assistance France), Jean-Louis Marcucci  (Ineo) et Bernard Duterque (Generali)

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur