Cybersécurité : Quel rôle peuvent jouer les assurances auprès des entreprises ?

cyberassurance.jpg

Alors que la cybersécurité et la protection des données personnelles deviennent des enjeux stratégiques pour les entreprises, de nombreux observateurs prédisent depuis un certain temps l’inévitable montée en puissance des assureurs sur ces sujets.

Inciter les entreprises à rationaliser leur gouvernance de la sécurité

Les risques augmentant en fréquence et en impact, pensait-on, de nouvelles offres d’assurance étaient vouées à apparaître voire à se généraliser pour inciter les entreprises à rationaliser leur gouvernance de la sécurité informatique et des données.

La réalité n’a pour l’instant pas validé ces pronostics, comme le note Cory Doctorow sur le site BoingBoing :

Mais les données empiriques montrent que les assureurs continuent de souscrire des polices pour des entreprises qui font des choses incroyablement stupides, et n’offrent pas de bonus substantiels à celles qui ont de bonnes pratiques de sécurité (il n’y a même pas besoin de garder un bon niveau de mises à jour de sécurité pour rester assuré !). À la place, les assureurs se concentrent sur les “services post-violation” qui aident les entreprises à se remettre au travail après qu’une violation ait eu lieu.

Un développement inéluctable… qui se fait attendre

Ce paradoxe, d’une offre qui semblait inéluctable et qui joue les arlésiennes, est examiné dans un très intéressant travail de recherche publié par la IEEE Computer Society, intitulé : “Does insurance have a future in governing cybersecurity?” (L’assurance a-t-elle un avenir dans la gouvernance de la cybersécurité ?).

Voici le synopsis de l’article :

La cyber assurance pourrait remplir des objectifs d’intérêt général pour la cybersécurité avec des moyens du secteur privé. Les assureurs analysent les postures organisationnelles de sécurité, prescrivent des procédures et contrôles de sécurité, et offrent des services post-incident. Nous évaluons comment de tels mécanismes impactent la sécurité, identifions les dynamiques de marché restreignant leur effectivité, et esquissons les futurs possibles pour la cyber assurance comme gouvernance.

Assez court (seulement sept pages), cet article offrira une bonne base de réflexion aux directions des risques, directions juridiques et autres RSSI à la recherche d’une vision cohérente du marché de la cyber assurance.

(Source : BoingBoing)