Notre Business Model

Pourquoi financer ses risques IT par l’assurance ?

Les avantages, pour une entreprise ou une collectivité publique, d’évoluer vers un transfert plus large de ses risques sont multiples :

  • Financiers : le provisionnement ne peut couvrir la totalité des risques, tant en nature qu’en montant. A défaut de transfert des risques, et en cas de survenance de sinistre majeur, le bilan et le compte de résultat sont affectés
  • Gestion des risques : le transfert des risques au marché de l’assurance suppose la valorisation des risques et des incidents, et crée un dialogue avec les entités opérationnelles dans ce but
  • Opérationnels : l’assurance fournit aux opérationnels des outils d’aide à la décision, en valorisant les risques et le coût de leur couverture

Mais ce transfert repose sur un certain nombre de règles qui s’imposent aux assureurs, avec une acuité particulière lorsque ces risques sont nouveaux et méconnus, cas des cyber-risques, et que leur quantification est complexe (obligations de maîtrise des engagements selon les règles de Solvency 2).

 Plusieurs principes de fond conditionnent l’assurabilité d’un risque

  • L’assurance d’un risque, quel qu’il soit, suppose que sa survenance respecte un caractère aléatoire
  • Un fait : tous les risques ne sont pas assurables (moralité, anti-sélection, guerre, coût…). L’assurabilité d’un risque dépend avant tout de la capacité des acteurs à identifier les périls encourus pour les transcrire en objets d’assurance dans un cadre contractuel.
  • Une conséquence : toute opération d’assurance a pour objet l’indemnisation d’un préjudice. Toute opération d’assurance nécessite donc pour l’assurance de pouvoir d’une part quantifier les conséquences financières des risques encourus et, en cas de survenance, d’établir le juste préjudice subi en application du principe indemnitaire.
  • Une cause : Identifier le lien de causalité entre le préjudice et le fait générateur.

 L’assurance repose sur le principe de mutualité

Il est dans l’intérêt individuel de répartir contractuellement sur plusieurs le risque individuellement imprévisible pour chacun, et ainsi de le diminuer a priori. Ainsi, une mutualisation de risques sera d’autant plus efficace et appropriée qu’elle s’appuiera sur des tables statistiques (assurance vie, maladie,…) issue de l’expérience passée. Sur des risques ou familles de risques plus récents et a fortiori s’ils sont peu fréquents, l’absence d’éléments statistiques rend difficile, pour ne pas dire impossible, la détermination a priori des règles d’équilibre technique, économique, social ou financier ; un risque non mutualisable est difficilement assurable.

Lien Assurance – Politique de Sécurité des Systèmes d’Information

Pour Clever Courtage, il est indispensable que le management et l’assurance des risques des systèmes d’information soient calqués sur l’évolution des modèles de sécurité. Basée tout d’abord sur la sécurité physique et le contrôle d’accès, la sécurité s’est rapidement centrée sur les infrastructures avec l’arrivée d’internet et les premières connexions entre entreprises. C’est l’émergence du modèle de sécurité dit de « confiance périmétrique » : il s’est reposé dans un premier temps sur un rempart d’équipements comme les antivirus, les pare-feux, puis sur le déploiement de correctifs et une gestion opérationnelle de la sécurité pour tendre vers une véritable gouvernance de la sécurité en gérant les risques et non plus seulement les incidents.

Même si ce modèle de confiance périmétrique a su évoluer en prenant notamment davantage en compte les enjeux métiers, les alignements selon la norme ISO 27001, les boucles d’améliorations continues, les audits et les contrôles permanents, il est aujourd’hui ébranlé.  Avec l’arrivée du cloud computing, des équipements mobiles, le SI s’est éclaté : les informations et leur traitement sortent de plus en plus du périmètre de l’entreprise, les données se multiplient, deviennent plus spécifiques (santé, paiement, données à caractère personnel…) et leur gestion se complexifie sous la multiplication des standards et des réglementations.

Les solutions

C’est donc sur le modèle des Systèmes d’Information ouverts, la protection des données et sur son corollaire, l’atteinte à ces données,  que CLEVER COURTAGE a développé des solutions originales d’assurance de l’atteinte aux systèmes et aux données, en retenant plusieurs points qui doivent être soulignés :

  • En l’absence de référentiel statistique sur des risques nouveaux, l’assureur va d’abord collecter une prime déterminée à partir de la notion de risque « perçu », notion aggravante par rapport au risque « encouru ». Le financement d’un risque mal connu est toujours coûteux.
  • La capacité indemnitaire susceptible d’être proposée par une compagnie augmentera progressivement au rythme des souscriptions et de l’acquisition d’expérience dans la branche ; elle sera au départ d’un montant très inférieur au besoin réel de couverture et sans rapport avec le risque de pointe.
  • Une compagnie d’assurance a pour mission principale de financer le risque ; elle procède rarement à de la veille économique ou technologique et fait peu de recherche et développement en matière de nouveaux gisements de marchés. Toute demande de financement d’un risque nouveau doit s’appuyer sur un dossier d’analyse parfaitement étayé par le client lui-même ou son courtier, pour ne pas se voir opposé un refus « d’intérêt » de l’assureur par crainte de trop exposer ses fonds propres.
  • Les outils d’analyses de risques connus développés par les compagnies d’assurance s’appuient sur des questionnaires standardisés, utilisés d’une part pour identifier et comprendre les enjeux financiers et d’autre part pour déterminer une prime à partir de grilles de cotation généralement issues de l’expérience passée et du coût de la réassurance.

Les méthodes

Ces outils d’analyse ne sont généralement pas adaptés pour étudier les nouvelles problématiques de risques, notamment celles liées aux risques immatériels informatiques. Toute couverture d’un risque « original » fait alors l’objet d’une étude spécifique, menée au cas par cas. Pour toutes les raisons qui précèdent, chaque demande de financement de risque présentée à un assureur doit systématiquement s’appuyer sur un dossier technique complet, transparent, étayé par tout document interne ou externe susceptible de faciliter la compréhension de l’activité, de la prévention, de la protection, des enjeux financiers….