Notă cu privire la riscurile din sectorul cibernetic

Notă cu privire la riscurile din sectorul cibernetic

2248
Christophe Madec

În contextul multiplicării riscurilor din sectorul cibernetic, care sunt soluțiile pe care le poate oferi piața asigurărilor?

Asigurările reprezintă o metodă bună de a preîntâmpina consecinţele unui risc cibernetic. În acest caz, riscul este unul aparte întrucât consecinţele sale se pot manifesta în mai multe forme. Un atac poate avea repercusiuni asupra nivelului de activitate și deci consecinţe în ceea ce privește pierderile de profit brut; acestora li se pot adăuga costuri suplimentare considerabile, ca de pildă costurile de investigaţii și de reconstrucţie digitală pentru restabilirea funcţionării optime a sistemelor informatice.

Imposibilitatea întreprinderii de a-și desfășura activitatea generează și un risc de neîncredere din partea partenerilor, clienţilor sau furnizorilor. Întreprinderea ar putea fi obligată la plata de daune interese mai mult sau mai puţin substanţiale, în plus faţă de costurile procedurale destul de ridicate. Acest risc de neîncredere capătă o nouă dimensiune odată cu intrarea în vigoare începând cu 2018 a regulamentului privind protecţia datelor cu caracter personal care instituie obligaţia companiilor de a notifica orice scurgere de date și de a comunica direct cu persoanele vizate.Confruntată cu aceste mize și cu influenţa crescândă a acestor riscuri, piaţa asigurărilor oferă soluţii specifice, furnizate de departamentele specializate în acoperirea riscurilor din sectorul cibernetic. Aceste poliţe completează gama de asigurări deja existente în cadrul întreprinderii,

 în condiţiile în care poliţele tradiţionale care acoperă daunele bunurilor și răspunderea civilă se dovedesc inadecvate pentru garantarea corectă a consecinţelor financiare ale unei catastrofe cibernetice. Iar acest lucru este valabil cu atât mai mult cu cât, pentru a favoriza dezvoltarea unei veritabile pieţe a poliţelor care acoperă riscurile din sectorul cibernetic, asigurătorii își propun să restrângă, prin excluderi specifice, riscurile sectorului cibernetic din poliţele care acoperă daunele bunurilor sau răspunderea civilă. Avantajul unei poliţe în domeniul cibernetic nu se limitează la acoperirea consecinţelor financiare ale unui atac asupra sistemului informatic. În cazul producerii unei catastrofe cibernetice, întreprinderea poate fi asistată în gestionarea crizei de către experţi și consilieri calificaţi. Alegerea unei astfel de asigurări prezintă un dublu avantaj. Primul constă în acoperirea consecinţelor financiare ale unui incident, care este de altfel și VIP Interviu cu Christophe Madec, expert în cyber risk analysis. VIP InterviewVIP Interview 24 – Cybersecurity Trends rolul tradiţional al asigurărilor. Al doilea, la fel de important, constă în capacitatea de a fi prezent alături de întreprindere, cu precădere alături de conducerea departamentului de Sisteme Informatice și de directorii generali, pentru a gestiona în mod optim consecinţele multiple ale unui astfel de incident.

În opinia dumneavoastră, care este situația pieței asigurărilor din sectorul cibernetic în prezent?

Situaţia pieţei asigurărilor este destul de neuniformă și chiar surprinzătoare. Cel puţin în ceea ce privește piaţa franceză, toţi asigurătorii, fără excepţie, adică mai bine de cincisprezece actori, s-au mobilizat pentru a crea și a propune poliţe de asigurare pentru acoperirea riscurilor cibernetice. Oferta este deci variată și creează o veritabilă competiţie pe piaţă. Cu toate acestea, la nivelul cererii, chiar dacă a existat o solicitare puternică din partea marilor grupuri internaţionale și în special printre societăţile cotate, aceasta a fost extrem de redusă și chiar inexistentă pe piaţa microîntreprinderilor și IMM-urilor. Asigurătorii anglo-saxoni care beneficiază de experienţa pieţei americane pentru care sunt create asigurări specifice de mai bine de zece ani au fost primii pe piaţa europeană. Marii asigurători europeni și-au conceput mai apoi propriile oferte. Pentru a ilustra cu câteva cifre, volumul mondial al primelor aferente asigurărilor riscurilor cibernetice este estimat la 3,5 miliarde de dolari, din care aproximativ 250 de milioane de dolari din piaţa europeană. În ceea ce privește piaţa franceză, volumul actual al primelor este estimat la 40 de milioane de euro și se concentrează în special asupra pieţei marilor riscuri. Fiecare companie de asigurări are o capacitate de subscripţie de circa 25 de milioane de euro, ceea ce le permite în prezent monopolizarea unei capacităţi totale de peste 300 de milioane de euro în cadrul unui singur program. Ca urmare a evenimentelor Wannacry și Petya din iunie 2017, se constată totuși politici de subscripţie destul de imprudente care îi determină pe asigurători să-și limiteze angajamentele în funcţie de calitatea dosarelor care le sunt prezentate. Asigurătorii devin mai exigenţi în ceea ce privește informaţiile subscripţiei și nu se mai angajează complet decât dacă aceste informaţii care le sunt furnizate sunt considerate satisfăcătoare. În privinţa tarifelor practicate, asigurătorii au din păcate puţină experienţă și nu dispun de nicio informaţie semnificativă care să le permită crearea unui model actuarial al acestui risc, cu scopul de a stabili tarife pertinente în raport cu riscul. De altfel, tarifele se stabilesc într-un mod destul de empiric, ceea ce generează disparităţi importante atât între diferite pieţe precum de pildă cele din Franţa, Germania, Anglia, cât și între actorii individuali. La nivelul pieţei franceze, costurile primelor variază semnificativ între asigurători în funcţie de activităţile și de mărimea întreprinderii. Pe piaţa microîntreprinderilor, tarifele sunt accesibilizate pentru favorizarea cererii. Este foarte evident că asigurătorii sunt în faza de câștigare de cotă de piaţă și caută să-și echipeze la maximum clienţii pentru ca apoi să-i asiste și să le dezvolte portofoliul în funcţie de evoluţia acestui risc și de gradul de probabilitate a producerii atacului. Dincolo de aspectele tarifare și de capacităţi, este interesant de observat că poliţele de asigurare sunt în general dificil de înţeles din cauza multitudinii de oferte disponibile. Condiţiile prezentate sunt în continuare foarte eterogene între asigurători, la nivelul unei pieţe nestructurate în care se simte lipsa unei baze de referinţă și a unui feedback pentru consolidarea aspectelor contractuale.

Care este poziția întreprinderilor vizavi de asigurările din sectorul cibernetic?

Și aici, situaţia este împărţită. Pe de o parte, există sfera marilor riscuri, reprezentată de companiile mari internaţionale, multinaţionale și societăţile cotate la bursă. Pe de altă parte, regăsim microîntreprinderile și IMM-urile. În ceea ce privește societăţile cotate, aproape toate sunt acoperite de poliţe de asigurare împotriva riscurilor cibernetice, achiziţionate în ultimii doi ani. Sub presiunea investitorilor și a agenţiilor de notare, societăţile nu pot neglija acești factori de risc, așadar sunt obligate să menţină o transparenţă a politicilor practicate în materia de securitate cibernetică, iar aceste politici includ în general și o asigurare. Situaţia este diferită în cazul microîntreprinderilor șiIMM-urilor. Chiar dacă aceste structuri sunt în prezent sensibilizate cu privire la riscurile cibernetice, datorită unei actualităţi mediatice foarte puternice pe acest subiect, problema principală este că nu vizualizează propriul nivel de vulnerabilitate și nu identifică posibilul impact, în special impactul financiar. Subiectul rămâne adesea în sarcina departamentului de sisteme informatice sau a responsabilului pe partea de informatică, care au o viziune strict tehnică în legătură cu acest risc. Înţelegerea riscurilor cibernetice trebuie să fie transversală pentru a implica întreprinderea la toate nivelurile sale. Demersul pe care ni l-am propus constă în favorizarea schimburilor între mai multe funcţii, în special între responsabilii pe partea de informatică, departamentul financiar, serviciul de audit și conducerea întreprinderii, pentru a stimula un dialog despre gestionarea riscurilor cibernetice și a potenţialelor consecinţele, pentru a permite o conștientizare corectă a subiectului. Principiul cartografierii riscurilor reprezintă abordarea optimă. Cu toate acestea, este dificil de implementat, din cauză că necesită integrarea unui plan de continuitate a activităţii sau a unui plan de reluare a activităţii cu scopul de atrata corect ansamblul problemelor anterioare și ulterioare sursei. Această abordare necesară poate fi simplificată prin adoptarea unei strategii pragmatice mai simple care constă în identificarea cu prioritate a aplicaţiilor critice la nivel de gestionare a activităţilor și în elaborarea de scenarii cu privire la consecinţele financiare ale indisponibilităţii acestor aplicaţii. Acest prim pas permite și înlesnirea deciziei de a apela la o poliţă de asigurare și de a elabora o schemă garantată și adaptată atât problematicii identificate cât și integrată planurilor de asigurare deja existente. În această situaţie, în caz de atac, întreprinderea va beneficia mult de alegerea unei asigurări. Ţinând cont de evoluţia organizării sistemelor informatice și de natura ameninţărilor, această preocupare trebuie să se înscrie în timp pentru a adapta, la nevoie, soluţiile găsite în scopul gestionării acestui risc.