Trends - Cybersecurity Trends les compagnies d’assurances (à l’exception des USA et de quelques rares pays d’Asie). Par exemple, une assurance de “cyber-sécurité” proposée à une entreprise basée en France ou en Italie va encore se baser sur le chiffre d’affaires annuel brut du client. Elle se révèle souvent chère et ne rembourse que quelques millions d’Euros par attaque ce qui est souvent bien loin des conséquences réelles, comme par exemple dans le cas d’une entreprise comme Saint-Gobain, qui a perdu 250 millions suite à Wannacry. La raison de ce système “aveugle” est que ni les assurances, ni les entreprises n’ont de standards stricts et homogènes pour évaluer la résilience de leurs infrastructures, les capacités de leurs employés en matière de sécurité de base et la réelle performance du département du CISO/CSO, voire du SOC lorsque l’entreprise possède un tel centre de sécurité propre. Le manque de prévention aux risques et de culture “cyber” de base de la majorité des conseils de direction est ainsi l’un des éléments venant expliquer cette sous-évaluation constante des dommages. Tant que le degré de sécurité est jugé, dans son ensemble, comme immature, les compagnies nationales d’assurances ne peuvent récompenser par des remboursements à la hauteur des pertes les entreprises qui sont performantes (par exemples celles qui respectent scrupuleusement tous les standards du cadre NIST). Souvent, ces entreprises sont ainsi obligées de se tourner vers des assureurs étranger, in primis ceux d’outre-Manche et d’outre-Atlantique. Aussi, comment ce nouveau-né helvétique est-il, d’après l’analyse des spécialistes, promis à un futur radieux ? Il y a pour cela plusieurs raisons simples, qui, combinées entre elles, permettent de créer un écosystème dans lequel une compagnie d’assurance peut se lancer, avec des primes parfaitement accessibles et des remboursements gigantesques, à aborder la plus difficile des clientèles : les citoyens. Toutes sont réunies dans le pays aux 26 cantons. Les citoyens suisses font souvent l’objet d’ironies sur le fait qu’ils sont «sur-assurés», une observation qui a sa part de vérité, mais dont l’origine provient non pas
1
38
de la peur mais bien de la connaissance des risques encourus en cas de problèmes de diverse nature. De plus, la responsabilité civile, l’assurance maladie, l’assurance ménage, l’assurance véhicule et bien d’autres encore sont exclusivement privées. Parmi celles-ci, l’assurance maladie est revenue au domaine privé – placée néanmoins sous la supervision de la Confédération, qui en établit annuellement les primes depuis le référendum de 1996. L’Etat n’y gère plus, en gros, que le fonds de pension de base (à compléter par les deux autres piliers, privés), l’assurance invalidité, l’assurance chômage. La première conséquence du «tous assurés» et d’une mentalité générale de se considérer collectivement responsables de l’honnêteté envers les assurances est que les entreprises de ce secteur sont plus que bénéficiaires, se permettant ainsi de proposer à leurs clients plusieurs bonus qui n’existent presque nulle part ailleurs. On citera par exemple le remboursement complet des bris de glace pour les véhicules, quelle qu’en soit la cause et sans avoir besoin d’une assurance casco complète ni de subir un malus suite au dégât. Un autre exemple pourrait être, pour moins de deux cents euros par année, l’assurance complète des bagages à main et de leur contenu (argent liquide excepté) où que se trouve le client (rue, voiture, bus, train, avion, etc.) dans le monde entier. Par exemple, nous avons été nous-même volé une fois : l’assurance nous a remboursé en moins d’une semaine aussi bien le bagage que l’appareil photo et le disque dur externe qui s’y trouvaient, au prix du neuf ! Les «assurances internet» objet de notre article ont ainsi été proposées à des prix très abordables comme un «plus» à une assurance déjà contractée, in primis celles obligatoires (responsabilité civile, santé, ménage). Contractée et active en un simple clic sur le site de l’assureur, la «cyberassurance» a ainsi bénéficié, en termes de marketing, d’une clientèle captive (entre autres par les bonus) avec laquelle elle entretient une relation sur le long terme. Avec la connaissance et le libre choix, pour l’assuré, des données à protéger, la confiance entre le client et l’assureur est totale. Cela d’autant plus que la plateforme des assurances, grâce à ses ressources et son scan permanent du net, peut se concentrer sur des éléments très précis, réduisant au maximum le coût de ses opérations, maximisant ses capacités de repérer au plus vite les données des clients volées ou compromises, réduisant ainsi, par des actions précises, la possibilité de duplication de ces mêmes données. Sans être naïf, bien des services offerts sont déjà inclus dans les assurances obligatoires (maladie, invalidité, décès) ou encore, en des termes financiers, dans la plupart des contrats de prestations des banques suisses (couverture complète des sommes volées suite à l’usurpation ou du vol d’une carte de crédit, franchise limitée au minimum lors du vol d’une carte de débit associée avec son NIP, etc.). Cependant, ces nouvelles assurances auront un effet bénéfique pour la société dans son ensemble, indiquant aux compagnies indélicates (on citera certains sites de e-commerce très agressifs) d’être très attentifs lorsqu’elles entreront en possession de données suisses de provenance inconnue ou encore acquises sur le marché gris. La possibilité de bénéficier de frais de justice, d’avocats et d’experts, jusqu’à un million de francs donne ainsi aux citoyens et aux résidents de la Confédération la possibilité unique de porter plainte contre une compagnie auprès d’une instance des Etats-Unis, une procédure dont les coûts hors de portée de plus de 98% des citoyens européens.
2
3 4
5