Les points clés du live Zoom du 30 Juin 2020.

Intervenant : Ezéchiel Symenouh 
Expert en cyber assurance

Entreprise : Gras Savoye Willis Tower Watson 

Présentation de l’invité : 
Parcours en école de commerce, gestion de risques, ENASS Paris 

Pas de parcours IT ou cyber.

Les qualités requises de ces métiers sont la curiosité et l’investissement.

Cabinet qui a le rôle de courtier en assurance (1er au rang national et 3ème mondial).

Clientèle / demande : entreprises du CAC40, ETI et PME, évaluation des risques et mise en place d’une politique d’assurance cyber

Définition de la cyber assurance : 

⁃ Développement aux États-Unis dans les années 2000 (à la suite d’une cyberattaque en Californie – le Californie Data Bridge Act) 
⁃ Comment répondre à ce nouveau besoin ? Violation des données ? Responsabilité civile ? Quel risque majeur ? 
⁃ Enjeu logique, innovation disruptive, création d’un écosystème et communication par les parties prenantes. 

Ransomware (piratage de l’information, logiciel malveillant) : hausse du montant de la rançon. 

En France, la cyber assurance est apparue avec l’entrée en vigueur du RGPD. Ce fut un gain de légitimité indéniable pour les cyber assureurs, d’où la croissance de ce marché. 

Contrats d’assurance majeurs : 
⁃ Atteinte aux données
⁃ Atteinte des systèmes d’information (SI)
Les données sont la clé d’une entreprise et prennent plusieurs places : disponibles, personnelles, confidentielles ou professionnelles. 

Dans 10% des cas, les attaques cyber peuvent être dues à des événements non cyber comme l’erreur de programmation ou une panne par exemple. 

Le contrat en cyber assurance se divise en 3 volets : 
⁃ Assistance : gestion de crise, conseil, expert informatique, avocat 
⁃ Responsabilité civile : frais d’enquête et réclamations 
⁃ Dommage : perte d’exploitation et frais supplémentaires d’exploitation
L’assureur rembourse les rançons si l’entreprise décide de la payer parce qu’elle n’a pas la possibilité de restaurer ses sauvegardes (infectées ou non disponibles) ou ne souhaite pas négocier avec les hackers. 

Il existe plusieurs types de contrats couvrant le risque cyber :
⁃ Traditionnel : via les couvertures dites silencieuses dans certains cas.
⁃ Contrat standalone (police unique) : contrat cyber (hybride) pouvant uniquement répondre à la menace cyber 
⁃ Exemple : pour une PME, entre 500K et 1M€ de montant de garantie, la prime peut être à partir de 1000 euros. 

Questions des auditeurs : 

⁃ La cyber assurance pourrait-elle voir le jour en Afrique ces prochaines années ? 
C’est nécessaire et cela passera par un durcissement de la réglementation étatique. L’impact des cyberattaques ne cesse de croître, la menace cyber (PC, mobiles, réseaux) est un risque majeur à prendre en compte dans les réformes de l’Etat. 

⁃ Les entreprises se tournent davantage vers des solutions de remboursement de rançons ou de décontamination des systèmes ? Quel est l’enjeu de chacune de ces solutions ?
Arbitrage interne : capacité informatique de récupérer son activité ou pas. 
L’indemnisation par le cyber assureur n’est pas recommandée par l’ANSSI (pas d’appui à la cyber criminalité, donc pas de paiement de rançon). 

⁃ Face à la volatilité du marché, existe t’il un moyen de renégocier les contrats en cours ?
Révision de contrat possible à chaque renouvellement (tous les ans en général) mais pas en cours sauf en cas de sinistre pour la reconstitution du montant de garantie.  

⁃ Évaluation des risques cyber selon les évolutions conjoncturelles, quel est le marché de la cyber assurance le plus mature à ce jour ? 

En aval et en amont de la signature du contrat, une analyse complète des risques est effectuée. S’il y a une aggravation de ces risques causée par une nouvelle activité par exemple ou une nouvelle acquisition, le contrat est alors revalorisé.
Les États Unis, l’Angleterre et l’UE sont des marchés matures en termes de cyber assurance. 

⁃ Quel état du marché africain ?
Wannacry en 2017 : Côte d’Ivoire, Afrique du Sud, Nigeria

Recrudescence des cyberattaques 

Par exemple, dans la ville de Johannesburg en 2018, le réseau électrique a été infecté par un ransomware.

En Afrique de l’ouest, il n’y a actuellement aucun acteur capable de répondre à cette demande et de solutionner contrairement à l’Afrique anglophone qui se positionne davantage.

Les secteurs en demande sont la finance, les télécom, les OIV (opérateurs d’importance vitale), les entreprises dépendantes de leur SI.

Solutions :

  • Création d’un cadre règlementaire strict
  • Création d’un besoin en cyber assurance
  • Régulation des activités
  • Ratification de la Convention de Malabo (2014)
  • Prise de conscience
  • Accompagnement des entreprises
  • Importance RSSI (Risk manager etc.)
  • Favoriser l’assurabilité par des partenariats pour accompagner le développement du marché africain.