Notă cu privire la riscurile din sectorul cibernetic

Focus (de , January 13, 2018)

VIP Interviu cu Christophe Madec, expert în cyber risk analysis.

În contextul multiplicării riscurilor din sectorul cibernetic, care sunt soluțiile pe care le poate oferi piața asigurărilor?

Asigurările reprezintă o metodă bună de a preîntâmpina

consecințele unui risc cibernetic. În acest caz, riscul este unul aparte întrucât consecințele sale se pot manifesta în mai multe forme.

Un atac poate avea repercusiuni asupra nivelului de activitate și deci consecințe în ceea ce privește pierderile de profit brut; acestora li se pot adăuga costuri suplimentare considerabile, ca de pildă costurile de investigații și de reconstrucție digitală pentru restabilirea funcționării optime a sistemelor informatice.

Imposibilitatea întreprinderii de a-și desfășura activitatea generează și un risc de neîncredere din partea partenerilor, clienților sau furnizorilor. Întreprinderea ar putea fi obligată la plata de daune interese mai mult sau mai puțin substanțiale, în plus față de costurile procedurale destul de ridicate. Acest risc de neîncredere capătă o nouă dimensiune odată cu intrarea în vigoare începând cu 2018 a regulamentului privind protecția datelor cu caracter personal care instituie obligația companiilor de a notifica orice scurgere de date și de a comunica direct cu persoanele vizate.

Confruntată cu aceste mize și cu influența crescândă a acestor riscuri, piața asigurărilor oferă soluții specifice, furnizate de departamentele specializate în acoperirea riscurilor din sectorul cibernetic. Aceste polițe completează gama de asigurări deja existente în cadrul întreprinderii, în condițiile în care polițele tradiționale care acoperă daunele bunurilor și răspunderea civilă se dovedesc inadecvate pentru garantarea corectă a consecințelor financiare ale unei catastrofe cibernetice. Iar acest lucru este valabil cu atât mai mult cu cât, pentru a favoriza dezvoltarea unei veritabile piețe a polițelor care acoperă riscurile din sectorul cibernetic, asigurătorii își propun să restrângă, prin excluderi specifice, riscurile sectorului cibernetic din polițele care acoperă daunele bunurilor sau răspunderea civilă.

Avantajul unei polițe în domeniul cibernetic nu se limitează la acoperirea consecințelor financiare ale unui atac asupra sistemului informatic. În cazul producerii unei catastrofe cibernetice, întreprinderea poate fi asistată în gestionarea crizei de către experți și consilieri calificați.

Alegerea unei astfel de asigurări prezintă un dublu avantaj. Primul constă în acoperirea consecințelor financiare ale unui incident, care este de altfel și rolul tradițional al asigurărilor. Al doilea, la fel de important, constă în capacitatea de a fi prezent alături de întreprindere, cu precădere alături de conducerea departamentului de Sisteme Informatice și de directorii generali, pentru a gestiona în mod optim consecințele multiple ale unui astfel de incident.

În opinia dumneavoastră, care este situația pieței asigurărilor din sectorul cibernetic în prezent?

Situația pieței asigurărilor este destul de neuniformă și chiar surprinzătoare. Cel puțin în ceea ce privește piața franceză, toți asigurătorii, fără excepție, adică mai bine de cincisprezece actori, s-au mobilizat pentru a crea și a propune polițe de asigurare pentru acoperirea riscurilor cibernetice. Oferta este deci variată și creează o veritabilă competiție pe piață. Cu toate acestea, la nivelul cererii, chiar dacă a existat o solicitare puternică din partea marilor grupuri internaționale și în special printre societățile cotate, aceasta a fost extrem de redusă și chiar inexistentă pe piața microîntreprinderilor și IMM-urilor.

Asigurătorii anglo-saxoni care beneficiază de experiența pieței americane pentru care sunt create asigurări specifice de mai bine de zece ani au fost primii pe piața europeană. Marii asigurători europeni și-au conceput mai apoi propriile oferte.

Pentru a ilustra cu câteva cifre, volumul mondial al primelor aferente asigurărilor riscurilor cibernetice este estimat la 3,5 miliarde de dolari, din care aproximativ 250 de milioane de dolari din piața europeană.

În ceea ce privește piața franceză, volumul actual al primelor este estimat la 40 de milioane de euro și se concentrează în special asupra pieței marilor riscuri.

Fiecare companie de asigurări are o capacitate de subscripție de circa 25 de milioane de euro, ceea ce le permite în prezent monopolizarea unei capacități totale de peste 300 de milioane de euro în cadrul unui singur program.

Ca urmare a evenimentelor Wannacry și Petya din iunie 2017, se constată totuși politici de subscripție destul de imprudente care îi determină pe asigurători să-și limiteze angajamentele în funcție de calitatea dosarelor care le sunt prezentate.

Asigurătorii devin mai exigenți în ceea ce privește informațiile subscripției și nu se mai angajează complet decât dacă aceste informații care le sunt furnizate sunt considerate satisfăcătoare.

În privința tarifelor practicate, asigurătorii au din păcate puțină experiență și nu dispun de nicio informație semnificativă care să le permită crearea unui model actuarial al acestui risc, cu scopul de a stabili tarife pertinente în raport cu riscul. De altfel, tarifele se stabilesc într-un mod destul de empiric, ceea ce generează disparități importante atât între diferite piețe precum de pildă cele din Franța, Germania, Anglia, cât și între actorii individuali.

La nivelul pieței franceze, costurile primelor variază semnificativ între asigurători în funcție de activitățile și de mărimea întreprinderii. Pe piața microîntreprinderilor, tarifele sunt accesibilizate pentru favorizarea cererii. Este foarte evident că asigurătorii sunt în faza de câștigare de cotă de piață și caută să-și echipeze la maximum clienții pentru ca apoi să-i asiste și să le dezvolte portofoliul în funcție de evoluția acestui risc și de gradul de probabilitate a producerii atacului.

Dincolo de aspectele tarifare și de capacități, este interesant de observat că polițele de asigurare sunt în general dificil de înțeles din cauza multitudinii de oferte disponibile. Condițiile prezentate sunt în continuare foarte eterogene între asigurători, la nivelul unei piețe nestructurate în care se simte lipsa unei baze de referință și a unui feedback pentru consolidarea aspectelor contractuale.

Care este poziția întreprinderilor vizavi de asigurările din sectorul cibernetic?

Și aici, situația este împărțită. Pe de o parte, există sfera marilor riscuri, reprezentată de companiile mari internaționale, multinaționale și societățile cotate la bursă. Pe de altă parte, regăsim microîntreprinderile și IMM-urile. În ceea ce privește societățile cotate, aproape toate sunt acoperite de polițe de asigurare împotriva riscurilor cibernetice, achiziționate în ultimii doi ani.

Sub presiunea investitorilor și a agențiilor de notare, societățile nu pot neglija acești factori de risc, așadar sunt obligate să mențină o transparență a politicilor practicate în materia de securitate cibernetică, iar aceste politici includ în general și o asigurare.

Situația este diferită în cazul microîntreprinderilor și IMM-urilor. Chiar dacă aceste structuri sunt în prezent sensibilizate cu privire la riscurile cibernetice, datorită unei actualități mediatice foarte puternice pe acest subiect, problema principală este că nu vizualizează propriul nivel de vulnerabilitate și nu identifică posibilul impact, în special impactul financiar. Subiectul rămâne adesea în sarcina departamentului de sisteme informatice sau a responsabilului pe partea de informatică, care au o viziune strict tehnică în legătură cu acest risc.

Înțelegerea riscurilor cibernetice trebuie să fie transversală pentru a implica întreprinderea la toate nivelurile sale. Demersul pe care ni l-am propus constă în favorizarea schimburilor între mai multe funcții, în special între responsabilii pe partea de informatică, departamentul financiar, serviciul de audit și conducerea întreprinderii, pentru a stimula un dialog despre gestionarea riscurilor cibernetice și a potențialelor consecințele, pentru a permite o conștientizare corectă a subiectului.

Principiul cartografierii riscurilor reprezintă abordarea optimă. Cu toate acestea, este dificil de implementat, din cauză că necesită integrarea unui plan de continuitate a activității sau a unui plan de reluare a activității cu scopul de a trata corect ansamblul problemelor anterioare și ulterioare sursei. Această abordare necesară poate fi simplificată prin adoptarea unei strategii pragmatice mai simple care constă în identificarea cu prioritate a aplicațiilor critice la nivel de gestionare a activităților și în elaborarea de scenarii cu privire la consecințele financiare ale indisponibilității acestor aplicații.

Acest prim pas permite și înlesnirea deciziei de a apela la o poliță de asigurare și de a elabora o schemă garantată și adaptată atât problematicii identificate cât și integrată planurilor de asigurare deja existente. În această situație, în caz de atac, întreprinderea va beneficia mult de alegerea unei asigurări. Ținând cont de evoluția organizării sistemelor informatice și de natura amenințărilor, această preocupare trebuie să se înscrie în timp pentru a adapta, la nevoie, soluțiile găsite în scopul gestionării acestui risc.

Material publicat în Cybersecurity Trends, nr. 4/2017

Autor: Laurent Chrzanovski


Tags: ,

Trackbacks

Leave a Trackback