1 58 Table of Contents 60 76

ATOUT RISK MANAGER N°23

ATOUT RISK MANAGER N°23 I HIVER 2019 59 ACTUALITÉ DE L’AMRAE - EN LÉGER DIFFÉRÉ d'exploitation, responsabilité vers les tiers, avec RSSI et métiers. C’est alors que l’on traite le risque résiduel avec l’assurance ». Et de rappeler que « les budgets de l'assurance cyber ne concurrencent pas les budgets de la sécurité IT. Le Risk Manager aide le RSSI à quantifier les pertes financières po t en t i e l l es e t su r t ou t l e « re t ou r su r investissement » des mesures de sécurité » . À la question de la journaliste Cécile Desjardins, animatrice de la table ronde, sur le coût de l’assurance cyber, Jean Bayon de la Tour, a répondu : « très faible avec des taux entre 0,5 et 2% des garanties achetées » . On estime que le volume des primes d’assurance cyber sur le marché français est de l’ordre de 80 M€, à rapprocher des 3,7Mds € en responsabilité civile ou 6,5 Mds € en dommages aux biens. (source FFA 2018) Rappelant la différence entre les clauses cyber dans un contrat d’assurance dommages aux biens et un contrat d’assurance dédié au cyber, couvrant les domaines immatériels et finançant des frais de recherche, de défense et de reconstitution, tous les intervenants furent unanimes pour louer le caractère indispensable du dialogue et de la coopération entre Risk Managers et RSSI, afin d’obtenir des dirigeants les investissements les plus adaptés, tant en termes de sécurité informatiques que de garanties assurantielles. Selon Thierry Auger, « le RSSI, avec les métiers, identifie dans leurs dimensions techniques, les conséquences possibles sur le fonctionnement de l’entreprise ou de ses clients» . Puis le Risk Manager, avec le concours du courtier et de l’assureur, enrichit cette analyse des impacts financiers consécutifs afin de définir les bonnes couvertures. Toujours pédagogue, Jean Bayon de la Tour a rappelé que « les assureurs indemnisent même si les minima de sécurité n’ont pas été respectés, s’ils acceptent de garantir l'entreprise naturellement.» Et de citer un chiffre des Lloyd’s : «99% des demandes d’indemnisation de sinistres cyber ont été honorées. » Pour l’instant conclut Sébastien Héon « il y a un marché suffisant… pour les demandes actuelles » sachant qu’en France aujourd’hui, les capacités sont de l’ordre de 500 millions d’euros. n «Si la garantie théorique sur le marché Cyber continue d’atteindre les 500 millions d’euros de garantie » note l’étude de l’AMRAE l’État du marché de l’assurance dommages aux biens, «certains assurés exposés « Tech » ont rencontré des difficultés dans leurs placements. Pour la première année, les franchises sont en hausse. Selon les secteurs, les diffèrent leurs attitudes : à la hausse, les activités plus exposées comme dans les secteurs de la Communication et des «Tech», les institutions financières et les «Retailers» . Les assureurs maintiennent des franchises élevées sur les grands risques. La position de certains est plus souple sur les PME. Enfin, les assureurs limitent le plus souvent leur engagement en primary à 10-15 M€». À noter dans les ateliers et exposants Deux solutions pour quantifier financièrement les vulnérabilités numériques. Un pilote chez Accenture, qui évalue à l’aide de sondes sur les infrastructures et les applicatifs, le coût des vulnérabilités, à partir de données renseignées préalablement par les métiers et les offres de Citalid, (Prix de l’Innovation des Assises 2018) pour quantifier le coût des risques cyber. «  Les assureurs indemnisent même si les minima de sécurité n’ont pas été respectés, s’ils acceptent de garantir l’entreprise naturellement. Il y a un marché suffisant… pour les demandes actuelles. » Jean Bayon de la Tour, Cyber development leader Chez Marsh «  le RSSI, avec les métiers, identifie dans leurs dimensions techniques, les conséquences possibles sur le fonctionnement de l’entreprise ou de ses clients. » Thierry Auger, Deputy Cio & Ciso de Lagardère «  Il n’y a pas de standard en assurance cyber, la question est de qualifier le besoin et d’appréhender les impacts : perte d’exploitation, responsabilité vers les tiers, avec RSSI et métiers. C’est alors que l’on traite le risque résiduel avec l’assurance. » Philippe Cotelle, président de la commission systèmes et information de l’AMRAE De gauche à droite Cécile Desjardins, Philippe Cotelle, Jean Bayon de la Tour, Thierry Auger et Sébastien Héon

RkJQdWJsaXNoZXIy NjQyNDQw