Pour gérer vos consentements :
Categories: Mobilité

Marsh : comment s’assurer contre les risques liés aux NTIC ?

Virus, dénis de service, pannes, falsifications de la page d’accueil, les entreprises qui ont lourdement investi pour avoir leur présence sur le Net n’ont souvent pas d’assurance leur permettant de couvrir les dégâts liés aux nouvelles technologies. Alors pourtant que la facture peut s’avérer bien lourde. Car aujourd’hui, les entreprises ne sont plus désormais les seules à être concernées par ces attaques ou pannes. Elles touchent de plus en plus le client final. « Au début d’Internet, les entreprises avaient essentiellement des sites vitrines, et les attaques ne concernaient alors que l’image même de la société. Ensuite, les entreprises se sont tournées vers l’e-commerce et il fallait donc être accessible pour que le client puisse acheter. Mais là encore, cela ne concernait que l’entreprise elle-même. Aujourd’hui, nous migrons de plus en plus vers des services payants et cela engage désormais l’entreprise vis à vis de ses clients », explique Jean-Laurent Santoni, consultant Risques et Assurances pour Marsh, un courtier en assurance. Mais le passage du « Best Effort » à la professionnalisation fait qu’aujourd’hui, les entreprises qui sont désormais face à une responsabilité civile veulent prendre des garanties notamment en s’assurant.

Seulement voilà, si l’entreprise commence à percevoir l’intérêt de s’assurer, elles doivent faire face à un obstacle majeur : celui des assureurs qui refusent de prendre en charge les risques liés aux nouvelles technologies. Ainsi les assureurs franco-français de type AXA, AGF, Generali ne couvrent pas les dommages liés à Internet. Certains ont essayé, à l’image d’AXA qui pour finir à résilier son portefeuille « virus et malveillance ». Il est vrai aussi que les événements du 11 septembre et d’AZF ont fragilisé certains assureurs. Mais le risque est encore grand devant les menaces et surtout, le coût difficilement chiffrable, est jugé trop important.

Les risques des nouvelles technologies

C’est pourtant sur ce domaine que la société Marsh a décidé de porter ces efforts. Marsh est une société américaine et sa position de courtier en assurances lui permet réellement de faire le lien entre d’un côté l’entreprise et de l’autre les assureurs. Par ailleurs, parmi ses activités, la société s’est peu à peu spécialisée dans le conseil et la gestion des risques. Marsh a ainsi cherché à évaluer et à appréhender les risques liés aux nouvelles technologies. Puisque les assureurs n’ont pas de visions sur les risques encourus par les sociétés, Marsh va justement le leur fournir.

Le spécialiste mondial du courtage a ainsi développé un outil méthodologique, le Net-Scoring, dont la vocation est double. Il s’agira avant tout de constituer un référentiel d’audit servant de base à la réalisation de missions de conseils (évaluation des risques, préconisations de solutions, assistance à la maîtrise d’ouvrage, ..) et de favoriser l’assurabilité des risques par le partage de connaissances avec les assureurs et les réassureurs sur la base d’une approche commune en référence aux standards de la FFSA (Fédération française des sociétés d’assurances) ou du CLUSIF. « L’originalité de l’approche tient à ce que la méthode Net-Scoring ne se focalise pas sur la technologie informatique utilisée par l’entreprise mais appréhende le système d’information comme un ensemble relationnel entre objets stratégiques constitués par les données (fichiers, bases, messages?) et les applications (programmes, procédures?) », explique Marsh.

IP Label mesure la disponibilité des sites

Marsh procède ainsi à un audit d’infrastructure de sécurité physique, qui porte sur le niveau des solutions de sécurité existantes. La société évalue aussi les engagements contractuels sur l’ensemble de la chaîne des acteurs (fournisseurs, opérateur de télécommunication, hébergeurs, utilisateur, client final ?) à la lumière des dernières évolutions légales et jurisprudentielles (référentiel juridique). Marsh s’appuie pour réaliser ses audits sur la solution d’Intranode, ActiveSentry. Cette dernière permet, dans un cadre budgétaire, d’évaluer les vulnérabilités d’une architecture Internet (réseau et services), de disposer d’un diagnostic de son état par rapport aux risques encourus et d’un plan d’action pour les parades à mettre en oeuvre. Par ailleurs, Marsh vient de s’adjoindre les services d’IP-Label, au travers de la solution Datamétrie, afin de renforcer ses compétences dans le domaine de la supervision, de la disponibilité et de la performance des services en ligne.

« Faute de pouvoir mesurer objectivement l’impact financier d’un virus adressé accidentellement à des milliers de destinataires, d’une erreur technique dans un catalogue publié sur un site Web ou d’une indisponibilité d’un serveur interdisant tout commerce pendant une période indéterminée, les compagnies d’assurance privilégieront les entreprises ayant fait l’objet d’une évaluation objective en situation réelle du niveau de risque de leurs architecture et organisation Internet », explique Jean-Laurent Santoni. Grâces à ces données certaines prennent le risque d’assurer les entreprises. En France, on trouve pour le moment de gros assureurs américains comme ACE ou AIG. Toutefois, le mouvement est encore timide. Tout comme pour les tempêtes, les assureurs traînent les pieds. Mais le risque lié aux nouvelles technologies se banalisant, les assureurs finiront par intégrer alors dans leur programme d’assurance les NTIC, tout comme ils ont fini par assurer les dégâts occasionnés par une tempête. Jean-Laurent Santoni estime que cela devrait prendre encore 3 à 5 ans.

Premier secteur intéressé : les banques

Pour le moment, les entreprises ayant souscrits un programme d’assurance se trouvent essentiellement dans le domaine des banques, des autorités de certification, de l’e-procurement, de la finance en ligne et de la grande distribution. Ces sociétés s’assurent avant tout pour la perte d’exploitation dû à un déni de service par exemple, pour la perte d’information, ainsi que pour la responsabilité civile que ce soit vis à vis d’un client ou d’un fournisseur. A terme, toutes les entreprises devraient être concernées, et les NTIC seront intégrées au même titre que les assurances classiques de type vol, incendie…

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago