Trouver un ...




Devis
Devis Automobiles
Voiture
Devis Habitation
Habitation
Devis Sante
Santé
Devis Professionel
Professionnel
Conseils
06
Juin
2018
Panorama sur l’offre du marché de l’assurance cyber risque / Les questionnaires : Introduction

Les assureurs fournissent des questionnaires aux entreprises pour évaluer le risque cyber. Souvent, ces questions portent sur la technologie du SI, les pratiques de gestion et la politique et de conformité adoptée par le demandeur.

D’après notre benchmark basé sur une vingtaine de questionnaires, nous pourrions ressortir quatre catégories principales :

  • Organisation,
  • Technique,
  • Gouvernance, politiques et procédures,
  • Conformité.

Chacune de ces catégories sera discutée plus en détail dans des articles à suivre.

Au premier chef, ces questions sont utilisées par les assureurs pour se faire une idée les efforts déployés par l’entreprise pour assurer sa propre sécurité. Les réponses permettent, par la suite, de créer des segmentations fiables selon des critères basés sur la sinistralité potentielle.

Cependant le manque de données freine la création de modèles de tarification fiables engendrant une segmentation perfectible pour le moment. Les actuaires savent bien que la robustesse d’un modèle, du point de vue assureur, est corrélée à son besoin en termes de données pour stabiliser ses paramètres : moins un modèle utilise de données plus il est simple et robuste pour assurer les équilibres techniques à moyen et à long terme.

Ainsi les actuaires et les souscripteurs exploitent au juste nécessaire les données récoltées via les questionnaires pour construire les tarifs. Néanmoins, il est important de bien renseigner ces questionnaires pour palier l’asymétrie intrinsèque de l’information sur les risques souscrits entre l’entreprise, supposée bien connaitre son SI et sa gouvernance, et l’assureur qui base son acceptation du risque sur le principe de bonne foi. Ce principe pourrait déboucher à une nullité du contrat ou la dégradation de la qualité de la couverture en cas de fausses déclarations volontaires par l’entreprise.

Outre la tarification, ces questionnaires ont des finalités positives que nous traitons ci-infra :

Tout d’abord, les assureurs basent leur sélection sur la qualité des réponses et leur adéquation avec leurs politiques de souscription. En effet, ces politiques correspondent à leurs appétits aux risques et permettent de procéder à une sélection minutieuse des entreprises à couvrir ou l’adaptation des clauses/garanties à octroyer avec des limites ou franchises adéquates. Dans certains cas, les assureurs envisagent des exclusions que les entreprises devraient étudier scrupuleusement.

Il faudrait souligner que les assureurs font face à leurs engagements via des mécanismes de mutualisation sur des portefeuilles ou des segments de portefeuilles homogènes. Cette mutualisation est un gage pour assurer des équilibres financiers fiables à moyen ou à long terme. Il est clair que les entreprises qui déploient peu de moyens pour assurer la prévention et renforcer leurs résiliences en cas d’incident peuvent fragiliser cet équilibre et engendrer des défaillances pour toute la collectivité. Il est admis, de nos jours, qu’une entreprise subirait des attaques cyber de manière quasi certaine et la question ou l’aléa à assurer est juste : pour quand et combien ?

Pour jouer pleinement ce rôle, les assureurs sont obligés d’éliminer de cet effort de mutualisation les « mauvais » risques et inciter les entreprises à déployer une démarche proactive de prévention et de mise en place des bonnes pratiques.

En cas d’incident cyber, les entreprises devraient démontrer, via cet exercice de réponse au questionnaire, les moyens déployés pour « booster » leurs résiliences et sécuriser la continuité, même en mode dégradé, de leurs activités.

Il est intéressant de garder à l’esprit, qu’une police d’assurance cyber a pour finalité de donner des moyens financiers pour se relever assez rapidement. Et pour être plus juste, les assureurs jouent un rôle de conseil et de partenaire fiable pour traverser les crises avec une palette assez large de services, de conseils et de bonnes pratiques.

D’autre part pour mieux renforcer cette mutualisation, l’assureur cherche à diversifier son portefeuille et limiter les cumules de risques. Il a besoin de connaitre les similitudes entre les assurés de son portefeuille et identifier les populations sous représentées pour dérouler les démarches commerciales requises afin de les rééquilibrer.

En plus, les questionnaires permettent d’identifier une partie des entreprises liées entre elles sous forme de réseaux formels ou implicites. Ces réseaux d’entreprises peuvent subir des incidents conjoints. Dans de telles configurations, l’assureur doit anticiper ces difficultés et procéder avec des mécanismes de co-assurance voire de réassurance pour diluer ses engagements propres et faire profiter son portefeuille, en cas d’incidents, d’une qualité d’engagement irréprochable.

Enfin, ces questionnaires ont pour objectif de construire des tarifs robustes dans un futur proche. Pour honorer cette perspective, il faut collecter les informations sur les risques dès maintenant.

 

9 juin 2018 - 

CRI4DATA