De plus en plus d’entreprises cherchent à s'assurer contre les risques liés à la cybersécurité. Les attaques informatiques coûtent de plus en plus chers car elles font toujours davantage de victimes, à l'instar de ce qui est arrivé à Sony ou à Target, mais aussi parce que les entreprises européennes auront, d'ici 2 ou 3 ans, l'obligation d’informer leurs clients en cas de vol de données personnelles.


Quels sont les risques assurés contre la cybercriminalité ?
Le marché de la couverture assurantielle des cyber-risques est en plein essor. Pour autant, il est encore compliqué de comprendre précisément les risques couverts. Un article paru sur le site BFM Business explique sur "les assureurs mettent "dans le cyber", des risques parfois déjà couverts par une assurance en responsabilité civile. "Il y a toujours un socle commun : garantie de dommages, gestion de crise, frais de notification…", souligne Laure Zicry Responsable technique Cyber Risk chez le courtier Gras-Savoye. La définition du périmètre et des besoins de l’entreprise doit donc être un travail commun qui va réunir le directeur juridique, le directeur des assurances et/ou le responsable de la gestion des risques et surtout le RSSI pour la partie informatique."
 
Selon une étude de Marsh, leader mondial du courtage d'assurance et de gestion des risques, ce marché devrait croitre de 50 à 100% par an en Europe. Pour autant, sur quoi doivent compter les entreprises qui souscrivent et qui se trouvent par exemple confrontées aux préjudices causés par une faille informatique ? Les contrats sont encore flous. La Tribune indiquait récemment qu'"en théorie, contre une prime adéquate, une compagnie d'assurance sera prête à assurer une organisation contre la majorité des risques. Prenons l'exemple de la création d'un contrat de prévention contre le terrorisme qui est aujourd'hui tout à fait envisageable ; si des organisations acceptent d'assumer le coût de la prime, les assureurs couvriront des risques même s'ils restent difficiles à identifier. Toutefois, si une organisation est assurée contre le risque d'une attaque terroriste, est-elle pour autant dispensée de recruter des vigiles ou d'installer des portes sécurisées afin de réduire le risque ?
Les organisations doivent répondre à deux questions principales lorsqu'elles passent en revue les nouvelles cyber-protections proposées par les compagnies d'assurance : la nécessité ou non d'investir d'importantes sommes dans des contrôles de sécurité internes et les moyens de réduire les primes."
 
Ainsi, sans une approche efficace et responsable en matière de sécurité des organisations, la compagnie d'assurance pourrait refuser de dédommager en cas d'attaque. Le quotidien rappelle que l'article 34 de la loi sur l'Informatique et les Libertés de la CNIL indique que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Une disposition similaire pourrait apparaître dans les contrats d'assurance.