Marsh : comment s’assurer contre les risques liés aux NTIC ?
Alors qu’une entreprise est assurée pour vol, incendie, dégât des eaux, les nouvelles technologies sont absentes des contrats d’assurance. La grande majorité des entreprises doivent elles-mêmes payer les dégâts occasionnés par un piratage de leur système, d’une panne de serveur… La raison en incombe aux assureurs qui estiment que le risque est trop grand et qu’il est difficile de mesurer l’impact financier d’un problème.
Virus, dénis de service, pannes, falsifications de la page d’accueil, les entreprises qui ont lourdement investi pour avoir leur présence sur le Net n’ont souvent pas d’assurance leur permettant de couvrir les dégâts liés aux nouvelles technologies. Alors pourtant que la facture peut s’avérer bien lourde. Car aujourd’hui, les entreprises ne sont plus désormais les seules à être concernées par ces attaques ou pannes. Elles touchent de plus en plus le client final. « Au début d’Internet, les entreprises avaient essentiellement des sites vitrines, et les attaques ne concernaient alors que l’image même de la société. Ensuite, les entreprises se sont tournées vers l’e-commerce et il fallait donc être accessible pour que le client puisse acheter. Mais là encore, cela ne concernait que l’entreprise elle-même. Aujourd’hui, nous migrons de plus en plus vers des services payants et cela engage désormais l’entreprise vis à vis de ses clients », explique Jean-Laurent Santoni, consultant Risques et Assurances pour Marsh, un courtier en assurance. Mais le passage du « Best Effort » à la professionnalisation fait qu’aujourd’hui, les entreprises qui sont désormais face à une responsabilité civile veulent prendre des garanties notamment en s’assurant.
Seulement voilà, si l’entreprise commence à percevoir l’intérêt de s’assurer, elles doivent faire face à un obstacle majeur : celui des assureurs qui refusent de prendre en charge les risques liés aux nouvelles technologies. Ainsi les assureurs franco-français de type AXA, AGF, Generali ne couvrent pas les dommages liés à Internet. Certains ont essayé, à l’image d’AXA qui pour finir à résilier son portefeuille « virus et malveillance ». Il est vrai aussi que les événements du 11 septembre et d’AZF ont fragilisé certains assureurs. Mais le risque est encore grand devant les menaces et surtout, le coût difficilement chiffrable, est jugé trop important.
Les risques des nouvelles technologies
C’est pourtant sur ce domaine que la société Marsh a décidé de porter ces efforts. Marsh est une société américaine et sa position de courtier en assurances lui permet réellement de faire le lien entre d’un côté l’entreprise et de l’autre les assureurs. Par ailleurs, parmi ses activités, la société s’est peu à peu spécialisée dans le conseil et la gestion des risques. Marsh a ainsi cherché à évaluer et à appréhender les risques liés aux nouvelles technologies. Puisque les assureurs n’ont pas de visions sur les risques encourus par les sociétés, Marsh va justement le leur fournir.
Le spécialiste mondial du courtage a ainsi développé un outil méthodologique, le Net-Scoring, dont la vocation est double. Il s’agira avant tout de constituer un référentiel d’audit servant de base à la réalisation de missions de conseils (évaluation des risques, préconisations de solutions, assistance à la maîtrise d’ouvrage, ..) et de favoriser l’assurabilité des risques par le partage de connaissances avec les assureurs et les réassureurs sur la base d’une approche commune en référence aux standards de la FFSA (Fédération française des sociétés d’assurances) ou du CLUSIF. « L’originalité de l’approche tient à ce que la méthode Net-Scoring ne se focalise pas sur la technologie informatique utilisée par l’entreprise mais appréhende le système d’information comme un ensemble relationnel entre objets stratégiques constitués par les données (fichiers, bases, messages?) et les applications (programmes, procédures?) », explique Marsh.
IP Label mesure la disponibilité des sites
Marsh procède ainsi à un audit d’infrastructure de sécurité physique, qui porte sur le niveau des solutions de sécurité existantes. La société évalue aussi les engagements contractuels sur l’ensemble de la chaîne des acteurs (fournisseurs, opérateur de télécommunication, hébergeurs, utilisateur, client final ?) à la lumière des dernières évolutions légales et jurisprudentielles (référentiel juridique). Marsh s’appuie pour réaliser ses audits sur la solution d’Intranode, ActiveSentry. Cette dernière permet, dans un cadre budgétaire, d’évaluer les vulnérabilités d’une architecture Internet (réseau et services), de disposer d’un diagnostic de son état par rapport aux risques encourus et d’un plan d’action pour les parades à mettre en oeuvre. Par ailleurs, Marsh vient de s’adjoindre les services d’IP-Label, au travers de la solution Datamétrie, afin de renforcer ses compétences dans le domaine de la supervision, de la disponibilité et de la performance des services en ligne.
« Faute de pouvoir mesurer objectivement l’impact financier d’un virus adressé accidentellement à des milliers de destinataires, d’une erreur technique dans un catalogue publié sur un site Web ou d’une indisponibilité d’un serveur interdisant tout commerce pendant une période indéterminée, les compagnies d’assurance privilégieront les entreprises ayant fait l’objet d’une évaluation objective en situation réelle du niveau de risque de leurs architecture et organisation Internet », explique Jean-Laurent Santoni. Grâces à ces données certaines prennent le risque d’assurer les entreprises. En France, on trouve pour le moment de gros assureurs américains comme ACE ou AIG. Toutefois, le mouvement est encore timide. Tout comme pour les tempêtes, les assureurs traînent les pieds. Mais le risque lié aux nouvelles technologies se banalisant, les assureurs finiront par intégrer alors dans leur programme d’assurance les NTIC, tout comme ils ont fini par assurer les dégâts occasionnés par une tempête. Jean-Laurent Santoni estime que cela devrait prendre encore 3 à 5 ans.
Premier secteur intéressé : les banques
Pour le moment, les entreprises ayant souscrits un programme d’assurance se trouvent essentiellement dans le domaine des banques, des autorités de certification, de l’e-procurement, de la finance en ligne et de la grande distribution. Ces sociétés s’assurent avant tout pour la perte d’exploitation dû à un déni de service par exemple, pour la perte d’information, ainsi que pour la responsabilité civile que ce soit vis à vis d’un client ou d’un fournisseur. A terme, toutes les entreprises devraient être concernées, et les NTIC seront intégrées au même titre que les assurances classiques de type vol, incendie…