De l’assurance cyber comme biais managérial

Bête parce que, présenté tel quel, on ne voit pas. Ben quoi, assurer, c’est assurer, non ? J’assure ma bagnole contre le vol, mon billet d’avion contre une fièvre de cheval qui m’empêche de partir, ma maison contre la foudre, etc. En fait, il faut préciser : cela veut dire quoi selon les interlocuteurs. Ou, dit autrement, comment chaque catégorie ou classe d’interlocuteurs perçoit l’assurance cyber, au sens de ce qu’elle apporte à l’organisation (on parle indistinctement d’entreprises publiques ou privées). Assurer le parc de véhicules de service, au moins, c’est clair : d’une part, c’est obligatoire (au moins l’assurance au tiers), d’autre part, on n’a pas à débourser le prix d’une nouvelle Clio si la précédente s’est mangé un platane.

Sauf que pour le risque cyber, c’est différent. D’une part, les couvertures assurantielles sont récentes (et avec des garanties en constante chute), d’autre part, celles qui subsistent ne couvrent pas tout, ni en termes de perte d’exploitation, ni en termes de paiement de rançon (quand la garantie existe), sans même parler des franchises. Je vous fais la version courte : pas mal d’acteurs de l’assurance (qui ont pris des bouillons ou essayent d’éviter d’en prendre) font migrer leur offre vers du préventif, une équipe de pompiers cyber le jour où vous vous faites poutrer, voire des audits et des outils plus ou moins gratuits. On est donc généralement sur un service minimum quant à la prise en charge financière par l’assureur – et, de vous à moi, si j’étais assureur, je ferais tout pareil. Alors dans ce contexte, que veut dire être assuré contre le risque cyber ? Et surtout pour qui, au sens des parties intéressées (PI), terme ISO qui décrit les acteurs en relation avec un périmètre certifié (ici, l’assuré) ?

Pour les partenaires, cela signifie certainement que la boîte (vous) est (êtes) tip top en matière de protection cyber : la preuve, un assureur a bien voulu vous couvrir. Selon eux, si vous étiez dangereux s’agissant de risque incendie, aucun assureur ne vous couvrirait, idem pour le risque cyber.

Pour les usagers (externes) et les agents (internes), cela ne veut rien dire. Qui a le niveau pour comprendre la cyber et ses implications dans le grand public ?

Pour le DAF, cela signifie que l’on a transféré un risque de perte d’exploitation, rien d’autre. Curieusement, à ce stade, il est étonnant de voir combien les montants assurés (1 million d’euros, 5 millions d’euros, etc.) paraissent « gigantesques » pour le commun des mortels, mais ridicules pour le DAF. Pensez bien à lui communiquer les montants et les franchises : accessoirement, pour un CHU de grosse taille, une couverture de 5 millions d’euros (tout de même), c’est à peine une à deux journées de perte d’activité… Ça pique.

Pour la DSI, cela veut juste dire qu’on a un audit (ou une déclaration obligatoire) chaque année qui oblige à disposer d’un plan d’amélioration. Si on est ISO, ça aide, sinon aucune action préventive de remédiation n’a encore été menée… ni même budgétée. Comme aurait dit Coluche, on a gagné le grand concours !

Pour la DG, cela signifie que le risque juridique est couvert. Devant les montants de couverture annoncés, aucune DG ne songera raisonnablement à compter dessus en cas de gros cash crypto.

Pour l’assureur, c’est plus piquant. Certains assureurs historiques de tel ou tel secteur ou de telle ou telle entreprise ont mis cette couverture à leur catalogue, non pas pour couvrir ledit risque, mais juste pour éviter qu’un nouvel entrant ne chipe le client avec cette première garantie et ne mette le pied dans la porte en emportant les autres contrats… mais au premier gros crash on stoppe les frais. À ce sujet, il serait intéressant de voir les obligations de signalement des incidents SI à l’assureur : vertueuses ou génératrices de malus comme pour la voiture ?

Pour les pouvoirs publics enfin, quand on sait qu’une partie des établissements de santé ne sont pas assurables (je garde mes estimations pour moi), être titulaire d’un contrat vous fait entrer de facto au Rotary – ou vous évite la case « Purgatoire », c’est selon.

Étudier l’assurance cyber d’un établissement public ou privé, en dehors de l’étude classique coûts/garanties, c’est d’abord et avant tout partager une vision commune avec tous les acteurs.

Veni, vidi, assuranci.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.