Comment calculer une prime de cyber assurance efficacement ?

cyber assuranceComment calculer une prime de cyber assurance efficacement ?

Les assureurs se mobilisent pour riposter face à la menace de cyber-attaques. Les entreprises sont de plus en plus exposées à ce risque avec une moyenne de 28 nouvelles vulnérabilités découvertes chaque jour. De plus, elles doivent prendre en compte le Legacy tout comme les nouvelles réglementations, notamment la RGPD qui entrera en vigueur en 2018. Cette charge supplémentaire pèse directement sur les épaules des Responsables de la Sécurité des Systèmes d’Information. Afin d’aider les entreprises à mieux gérer le cyber risque, les assureurs comme Gan, Gramaglia, Générali ont lancé des offres de cyber assurance. Elles permettent aux entreprises visées par une cyber-attaque d’être dédommagées des frais occasionnés pour effectuer l’ensemble des réparations. On peut citer les coûts d’interventions d’experts sécurité, d’indemnisation du chiffre d’affaires perdu, de conseils juridiques pour faire face aux plaintes des clients, la gestion de la réputation, entre autres.

 

Comment est calculé le tarif d’une cyber assurance ?

Aujourd’hui, les cotations des primes d’assurance sont calculées selon le chiffres d’affaire, l’activité de l’entreprise, la masse de données et la nature des informations collectées. Cependant on observe que le chiffre d’affaires est la variable la plus importante, alors qu’elle n’est pas représentative du cyber risque. On peut prendre l’exemple d’une startup dans la fintech : elle sera amenée à traitée des données financières de grande valeur. Or son chiffre d’affaires pourra être proche de zéro. Les entreprises qui détiennent des conformités de sécurité (PCI DSS, ISO 27XXX) pourront voir leur prime diminuée. Mais au vu des démarches nécessaires pour obtenir une conformité, seuls les ETI et les grands comptes seront concernés. Ainsi, une entreprise réalisant un chiffre d’affaires important mais ne détenant que peu de données de valeur pourra voir sa prime de cyber assurance élevée par rapport à la valeur de ses actifs informatiques. De même, une entreprise ayant mise en place une politique de sécurité efficace ne pourra la revendiquer pour diminuer la prime.

 

Comment devraient être calculées les primes de cyber assurance

Ne serait-il pas plus pertinent de calculer la prime de sa cyber assurance suivant le niveau de risque de l’entreprise ? Si nous vous posons cette question, c’est que les assureurs n’ont pas encore adoptées cette approche. La raison est qu’ils n’ont pas les solutions nécessaires pour estimer le niveau de risque des entreprises et notamment leur surface d’attaque. Les entreprises sont certes équipées de nombreuses solutions de sécurité mais elles sont peu efficaces. Elles sont souvent mal configurées, mal utilisées ou insuffisantes. De plus, les nouveaux environnements (virtualisation, cloud) entraînent de nouveaux risques informatiques qui ne sont pas pris en compte par ces solutions.

Afin de juger du niveau de risque des entreprises deux méthodes sont possibles :

  • Effectuer un audit de sécurité complet. L’entreprise pourra justifier de son niveau de risque et la prime sera calculée en conséquence. Un audit de sécurité devra être effectué chaque année pour recalculer la prime annuelle. Le problème majeur ici est que, comme nous l’indiquons plus haut, 28 nouvelles vulnérabilités en moyenne sont détectées chaque jour. La prime sera donc calculée à l’instant T. Mais quelques jours ou semaines plus tard le risque informatique sera bien plus important. L’assureur devra donc indemniser l’entreprise bien plus que ce qu’il avait provisionné.
  • Analyser votre système d’information en continu avec une solution de gestion des vulnérabilités. Cette démarche permet d’être au plus près du niveau de risque de l’entreprise car des analyses sont effectuées chaque jour. L’assureur pourra voir si l’entreprise a entrepris une politique de sécurité efficace en effectuant des actions de remédiation récurrentes. De plus, cette solution permet aux assureurs de vérifier que l’entreprise n’a pas délibérément appliquée des correctifs uniquement pour faire diminuer sa prime annuelle sans se préoccuper des nouvelles menaces une fois la cotation effectuée.

 

Analysez votre niveau de risque en continu

Afin de répondre à la demande des assureurs en cyber assurance, nous avons développés des solutions (Elastic Detector et Elastic Workload Protector). Elles sont capables de leur indiquer s’ils prennent un risque à assurer telle ou telle entreprise.

Que ce soit sur un parc informatique traditionnel, hybride ou Cloud, nos solutions détectent en continu les failles de sécurité. L’assureur peut identifier rapidement si son client respecte les bonnes pratiques de sécurité du guide de l’hygiène de l’ANSSI, du CSA ou du CIS.

De même, nous avons développés des indicateurs de risque qui vont faciliter la compréhension du niveau d’exposition aux cyber-attaques pour des profils non techniques.

Cette démarche consiste donc à réduire le niveau de risque des entreprises tout en limitant facilitant la cotation des primes des cyber-assurances.

Nous vous proposons dès maintenant d’analyser le niveau de risque d’une de vos IP pour découvrir votre exposition aux cyber-attaques.

2 thoughts on “Comment calculer une prime de cyber assurance efficacement ?

  1. Duterque - 07/07/2017 at 05:58

    Bonjour
    Je ne pense pas que vous ayez forcément parlé aux bonnes personnes. Le tarif, en tout cas chez Generali est basé sur différents paramètres et notamment les mesures de sécurité informatiques mises en place. C’est pourquoi nous avons mis en place des questionnaires auxquels nos futurs clients doivent répondre pour recevoir un devis. Cependant, s’agissant des PME PMI les chefs d’entreprise ne sont pas en mesure de répondre à des questions très techniques et refuse (ce que je comprends compte tenu de leur emploi du temps) à passer du temps sur des questionnaires trop long. La notion de chiffre d’affaires reste malgré tout importante notamment pour capter les problématiques de responsabilité civile. Plus vous avez de clients plus le potentiel de réclamations est grand.
    Pour conclure il est clair que nos algorithmes de calcul des primes cyber sont plus complexes que vous le laissez entendre même si le défaut ou la faiblesse des statistiques reste encore un handicap pour les assureurs.
    Bernard Duterque
    Responsable Cyber assurance Generali

    Reply
    • Sergio Loureiro - 07/07/2017 at 08:53

      Bonjour Monsieur Duterque,
      Nous vous remercions pour votre retour et vos précisions concernant votre offre de cyber assurance. Nous sommes ravis que les questionnaires que vous avez élaborés vous permettent de quantifier et qualifier le niveau de risque de vos clients. Cette démarche est très positive et mérite d’être soulignée.
      Notre article met l’accent sur une offre de cyber assurance qui est en train de se développer et certains assureurs sont plus matures que d’autres. Cependant, comme vous l’avez évoqué, peu de dirigeants ont les connaissances nécessaires pour remplir un questionnaire technique. De même, il leur est difficile de connaître leur niveau de risque informatique et leur surface d’attaque C’est pourquoi nous souhaitons accompagner tant les dirigeants que les assureurs en leur fournissant les outils nécessaires pour obtenir des statistiques pertinentes.
      Nous serions ravis d’échanger avec vous sur le dernier point que vous nous avez indiqué.
      Cordialement

      Sergio Loureiro
      PDG et cofondateur de SecludIT

      Reply

Leave a Reply