Ce qui pourrait presque faire sourire est en train de devenir un énorme business : de plus en plus d'entreprises chercheraient à souscrire des contrats d'assurance spécifiques afin de se couvrir contre les cyber-risques !
Sénat américain, CIA, FMI, Lockheed Martin, Citigroup, Google, Sony. Cette liste, non-exhaustive, des institutions et des entreprises internationales touchées ces dernières semaines par des intrusions informatiques a conduit à une perte en intégrité ou en confidentialité de certaines de leurs données. Au-delà de l'impact conséquent en terme d'image de marque pour les victimes, c'est aussi et surtout les coûts financiers, directs et indirects, de cette "flibusterie" des temps modernes, qui les fait se tourner vers les assureurs : atteinte à l'image de marque, perte de confiance en la marque, coûts de la perte ou du vol des données, possibles procès par des clients.
La liste des impacts peut vite s'alourdir et traumatiser réellement l'entreprise visée. Sony, par exemple, au-delà de l'énormité du coût estimé (presque 13,5 milliards de $ !), connaîtra dorénavant un "avant" et un "après" Lulzsec, intériorisé (psychologie des dirigeants, des salariés et des consommateurs) donc difficilement mesurable. Et pourtant bien réel.
La liste des impacts peut vite s'alourdir et traumatiser réellement l'entreprise visée. Sony, par exemple, au-delà de l'énormité du coût estimé (presque 13,5 milliards de $ !), connaîtra dorénavant un "avant" et un "après" Lulzsec, intériorisé (psychologie des dirigeants, des salariés et des consommateurs) donc difficilement mesurable. Et pourtant bien réel.
Les assureurs ont, ces dernières semaines, noté un afflux de demandes d'information, sachant qu'il n'existe pas (encore) de standard ou de cadre normatif en cyber-assurance. La tendance existe cependant, puisque l'un des volets des mesures en cybersécurité, prises le mois dernier par l'administration Obama, a pour objet de faire converger le législatif vers quelque chose de moins décousu (et non pas des dizaines d'amendements comme c'est le cas actuellement). L'adoption d'un cadre législatif cohérent devrait accélérer son utilisation juridique, particulièrement dans le monde de l'assurance.
La partie normative est donc l'un des vecteurs essentiels, partagée entre le NIST et les recommandations issues du DHS voire du CyberCom. Le DHS, avec le SANS, vient d'ailleurs de dévoiler une méthodologie de scoring logicielle (vulnérabilités et bonnes pratiques des développements). Ne manque plus qu'un travail en commun avec le NIST pour élaborer un guide spécifique ou, du moins, énoncer les bonnes pratiques à adopter : identification et classification des Assets (au sens IT), analyse(s) de risques, couverture des risques et risques résiduels, déclinaison (politiques et dispositifs mis en œuvre), formation du personnel, mesures particulières, etc. Le tout devant permettre de déterminer assez finement une classification finale, pourquoi pas sur le principe de l'étiquette-énergie, donc d'une grille de tarifs modulables.
Il y a donc là tout un pan à construire, au confluent de la technique, du législatif, du juridique et de l'évaluation des risques. Gageons que les géants de l'assurance ont flairé le filon et élaborent de juteux contrats qui ne vont pas tarder à être proposés sur le marché. L'article Reuters, d'où est issue cette réflexion, estime d'ailleurs ce marché à plusieurs centaines de millions de $ !
Aucun commentaire:
Enregistrer un commentaire