Combler les lacunes de protection avec une cyberassurance
Jesús Pampín, responsable de la souscription choses à la Vaudoise, aide la clientèle à se prémunir contre les dangers du monde numérique. Dans l’interview qu’il nous a accordée, il explique dans quels domaines les assureurs peuvent encore apprendre et pourquoi ils peuvent néanmoins jouer un rôle d'accompagnement et de conseil en cas de cyberattaques.
Jesús Pampín, une analyse de l’ASA montre qu’aujourd'hui, seules 8,7 % des entreprises sont assurées contre les cyberrisques. La prise de conscience de tels risques est-elle encore trop faible?
La prise de conscience a certainement augmenté ces dernières années. Lorsque nous avons introduit la cyberassurance à la Vaudoise en 2017, peu de PME savaient que des solutions d’assurance existaient dans ce domaine. Aujourd'hui, la situation a changé et la cybersécurité est devenue un vrai sujet pour les chefs d’entreprise. Le problème, c’est que même si beaucoup connaissent la menace, presque personne ne sait comment se protéger correctement et où trouver du soutien. De plus, très peu connaissent le fonctionnement d’un contrat d’assurance cyber.
Y a-t-il un client « typique » de la cyberassurance ? Ou un secteur particulièrement sensibilisé?
On ne peut pas parler d’un secteur en particulier. Dans le domaine des PME, nous comptons parmi nos clients des avocats, des cabinets médicaux, des fiduciaires, des architectes et des industries. Il est certain que les grandes entreprises ont davantage la capacité de se préoccuper de ce sujet. Elles disposent généralement d’une gestion globale des risques et de services informatiques qui se consacrent spécifiquement à la cybersécurité.
A joué un rôle de pionnier dans la cyberassurance : Jesús Pampín.
Dans quelle situation se trouvent les entreprises qui souhaitent souscrire une cyberassurance?
Il est encore rare que des entreprises nous demandent spécifiquement une cyberassurance. La plupart des entreprises ne connaissent pas réellement ce que proposent les compagnies d’assurance. Il est de notre devoir d’attirer leur attention de manière proactive sur cette lacune de protection et de leur expliquer exactement ce que comprend une cyberassurance. En tant qu'assureurs, c’est à nous de jouer: tant au niveau du conseil, de la souscription que lors d’un sinistre. Le risque est également nouveau et il est nécessaire de développer un savoir-faire dans chacun des domaines. En tant qu’assureurs, nous observons un processus de maturation. À cela s’ajoute le fait qu’une entreprise doit disposer d’un minimum de mesures de protection, que nous pouvons appeler «hygiène informatique» pour pouvoir conclure une assurance.
De quelles mesures de protection s’agit-il?
Nous avons beaucoup échangé avec nos collègues IT en interne, ainsi qu’avec certains partenaires en externe pour définir quelles seraient les mesures minimales que nous pourrions exiger pour toute PME. Ce sont ces mesures d’hygiène informatique que nous avons insérées dans nos contrats comme exigences à respecter. En font partie, les mises à jour régulières des logiciels, l’installation de programmes antivirus/firewall, le changement des mots de passe et naturellement la sauvegarde périodique des données. Sans ces mesures de base, il sera très difficile pour une PME de trouver une solution d’assurance sur le marché.
Forum Assurances
Le Forum Assurances, événement annuel romand de l’ASA, se tiendra le mardi, 29 octobre à Lausanne et sera dédié au thème: «Affronter les cyber-risques : l’affaire de chacun?».
Ce sera pour nos invités l’occasion de débattre de ce thème complexe : comment protéger notre économie nationale sans risquer de l’isoler dans les échanges internationaux, vitaux pour notre petit pays? Quel est le rôle de l’économie et de la politique? Comment rester à la pointe face aux développement galopants, comment encadrer sans paralyser? Et quel rôle le secteur de l’assurance doit-il jouer face à ces enjeux de taille?
Il existe différents efforts pour introduire des normes ou des labels de cybersécurité (par exemple Cyber Safe). Pensez-vous que de tels labels soient utiles?
Oui, ce type de labels serait utile. Mais il serait important de s’accorder sur un label uniforme qui pourrait ensuite être utilisé dans toute la Suisse ou à l’échelle européenne. Actuellement, différents labels sont en circulation et sont difficilement comparables. Pour les grandes entreprises, il existe la certification ISO, mais elle n’est pas adaptée ou praticable pour les PME et serait beaucoup trop onéreuse. Un cyberlabel devrait fonctionner comme un «Nutriscore», qui serait compréhensible pour les consommateurs finaux.
Après avoir augmenté ces dernières années, les prix des cyberassurances semblent se stabiliser. Cela est-il amené à durer?
Pour les «mauvais risques», c’est-à-dire les clients qui investissent peu dans leur sécurité informatique, les prix restent élevés et certains ne trouveront pas d’assureur prêt à les assurer. Les « bons risques », c’est-à-dire les clients qui prennent des mesures de prévention complètes, peuvent quant à eux renouveler leurs polices à des conditions plus avantageuses. Les prix sont toutefois très volatils.
«Le cyberrisque est encore relativement nouveau et les assureurs disposent de peu de données et de modèles de risque.»
Cela signifie qu'un cyberincident majeur en Suisse aurait un impact sur les prix et les capacités?
Oui, cela se ressentirait certainement. Des incidents comme la panne informatique mondiale de Crowdstrike font grimper le coût des sinistres, ce qui se répercute sur les prix tant au niveau des assureurs que des réassureurs. Un autre exemple est celui des attaques contre les administrations communales, qui ont même conduit certains assureurs à se retirer de ce domaine. Le cyberrisque est encore relativement nouveau et les assureurs disposent de peu de données et de modèles de risque. C’est pourquoi les prix vont continuer à fluctuer sur ce marché.
Y a-t-il des risques qui sont difficilement assurables? Pour quelle raison?
Le cyberrisque peut prendre des dimensions qui ressemblent à une pandémie. Si une cyberattaque paralyse les infrastructures de tout un pays, des dommages d’une telle ampleur – à l’instar d’une pandémie – ne peuvent plus être assurés. Les assureurs peuvent aider à gérer les sinistres et mettre leur réseau à disposition. Mais le secteur assurentiel ne peut pas assumer seul l’ensemble des risques liés à une cyberattaque généralisée.
Restons du côté des dommages : à quels types de cyberdommages vos clients sont-ils le plus souvent confrontés?
Le phishing et les ransomwares sont deux grandes menaces. Cependant, on oublie souvent que les dommages ne sont pas seulement causés par des attaques sur ses propres systèmes, mais aussi par des attaques sur des fournisseurs tiers. Prenons le cas de Winbiz: à la suite de la cyberattaque opérée sur ce fournisseur de logiciels, des milliers de leurs clients n’ont plus eu accès à leurs systèmes de comptabilité et/ou de gestion des stocks pendant des semaines. De telles dépendances ne peuvent pas être contrées par des mesures de cyberprévention au sein de l’entreprise cliente.
«Une bonne sécurité informatique peut, à l'instar d’un système immunitaire, repousser de nombreuses attaques préservant ainsi les activités de l’entreprise.»
Y a-t-il des entreprises qui sont particulièrement menacées?
En principe, tout le monde peut être touché. Une bonne sécurité informatique peut, à l'instar d’un système immunitaire, repousser de nombreuses attaques préservant ainsi les activités de l’entreprise.
La Suisse est connue pour sa sécurité. Est-ce également le cas dans le monde numérique?
La Suisse est reconnue au niveau mondial pour sa stabilité et sa sécurité. Nous devons également atteindre ce niveau en matière numérique et rattraper impérativement ce retard. Si les entreprises en Suisse n’ont pas un bon niveau de sécurité numérique, cela deviendra clairement un désavantage concurrentiel pour l’ensemble du pays. Les entreprises ne s’installeront pas en Suisse, si elles doivent craindre que leurs fournisseurs et partenaires soient mal armés contre les cyberrisques.
Supposons qu’un sinistre survienne. Comment les entreprises doivent-elles procéder?
En cas de cyberattaque, il est important de prendre des mesures très rapidement avec un prestataire IT spécialisé en cyber sécurité ou par le biais de votre compagnie d’assurance, si la PME est au bénéfice d’un contrat. La police est également un point de contact, toutefois sa priorité n’est pas de remédier à l’interruption, mais de trouver les auteurs. Ces dernières années, les assureurs ont acquis une certaine expérience et un savoir-faire dans la gestion des cyberattaques et peuvent s’appuyer sur un réseau de spécialistes. Notre secteur peut et doit jouer un rôle de conseil et d’accompagnement y compris au niveau de la prévention.
Portrait
Jesús Pampín débute sa carrière dans l’assurance en 1997 sur le marché suisse, dans la souscription. Après 13 ans d’expérience dans divers domaines de l’assurance en Suisse, il passe plusieurs mois à Londres, où il se familiarise avec les marchés européens. En 2012, il débute dans la cyberassurance. De retour en Suisse, il rejoint la Vaudoise Assurances, où il renoue avec la souscription tout en jouant un rôle de pionnier dans la cyberassurance. Au sein de l’ASA, Jesús Pampín est actif dans la Commission Choses ainsi que dans le groupe de travail Cyber depuis sa création.
«Cyber Insurance Summit Switzerland»
Pour les personnes intéressées des secteurs de l'informatique et de l'assurance, nous organiserons le mercredi,11 décembre 2024 à Zurich le «Cyber Insurance Summit Switzerland», qui se focalisera sur la résilience numérique de la Suisse et la cyberassurance.
