Face à la montée croissante du risque cyber et à la dégradation de l’accès au marché de l’assurance cyber pour les entreprises, Verlingue, courtier en assurance spécialisé dans la protection des entreprises, et Inquest, groupe Stelliant, cabinet conseil en gestion des risques, viennent de développer une gamme complète de solutions permettant d’apporter une réponse globale pour toutes les tailles d’entreprises :
• 91% des entreprises ont subi une ou plusieurs cyberattaques selon l’étude Proofpoint(1)
• Augmentation de +49% des primes d’assurance et multiplication par 3 des indemnisations(2)
• Une offre « cyber-résilience » dont la prévention devient la première brique indispensable à l’éligibilité à l’assurance
L’augmentation sans précédent des incidents cyber a entraîné une envolée du coût du risque. Avec moins de 10% des entreprises assurées, il n’y a pas d’effet de mutualisation du risque. C’est pourquoi les assureurs imposent désormais de maîtriser le risque en amont de la souscription et de la mise en place des garanties d’assurances.
Cependant, l’appréciation de ce type de risque nécessite une approche « Risk Management » globale (gestion des risques, sécurité informatique, impacts sur les opérations, enjeux juridiques et financiers) qui est parfois difficile à mettre en place dans les entreprises. En effet, le niveau de préparation à ce type d’attaque et le dispositif interne de réponse à incident (incluant le volet continuité des activités) souvent très précaires, ainsi que l’appropriation des méthodes d’évaluation des conséquences financières de ce type d’attaque supposent l’intervention d’experts dans chacun de ces domaines.
Fort de ces constats, Verlingue s’est associé à Inquest, pour lancer une offre globale de prévention du risque cyber, première brique indispensable à l’assurance de demain.
A travers ce partenariat innovant, Verlingue propose aux entreprises des solutions de prévention et de conseil qui s’inscrivent dans un processus itératif permettant aux dirigeants d’entreprises de toutes tailles et de tous secteurs, de :
• Comprendre les menaces auxquelles l’entreprise doit faire face pour s’y préparer ;
• Définir une politique et des mesures de prévention du risque ;
• Documenter la démarche d’évaluation de leur risque cyber et faciliter la recherche d’une solution d’assurance ;
• Permettre à l’entreprise de choisir et de payer le bon niveau d’assurance (garanties, franchises, primes, exclusions) ;
• Identifier le risque résiduel et mettre en place des moyens de diminution de ce risque, grâce à des services et conseils à forte valeur ajoutée.
Frédéric Chaplain, Directeur IARD chez Verlingue, déclare : « Le conseil en gestion de risques fait partie intégrante de l’ADN de Verlingue. Comme nous le faisons pour les risques traditionnels tels que l’incendie, l’appréciation du risque et la prévention en matière de cyber deviennent une condition sine qua non d’éligibilité à l’assurance. Mais, au-delà de cela, la gestion du risque cyber constitue selon nous le nouveau marqueur de la gestion des risques de l’entreprise. »
Alexis Nardone, Directeur général Inquest, commente : « Les outils et méthodes développés par INQUEST, groupe Stelliant, en matière d’évaluation et de prévention des risques cyber nous permettent d’apporter aux clients de Verlingue l’expertise renforcée par notre expérience auprès de secteurs et d’entreprises très variés. Notre enjeu prioritaire est d’aider les chefs d’entreprise à appréhender le sujet sous l’angle « risk management » avec efficacité et pragmatisme. Cette démarche nous permet de leur montrer comment améliorer l’architecture de leur système d’informations afin d’envisager avec eux une solution d’assurances adéquate ».
Grégory Roy, Directeur Grands Comptes et Partenariats chez Verlingue, précise : « Le risque cyber n’est plus seulement un sujet à destination des directeurs des systèmes d’information (DSI), c’est devenu un vrai sujet de gouvernance d’entreprise ».
Structuration de l’offre « Cyber-résilience »
Cette nouvelle offre de management du risque cyber, modulable en fonction des enjeux et de l’exposition aux risques de l’entreprise, s’articule autour de 5 étapes clés :
1. Audit : Entretiens avec les équipes de la Direction (incluant DSI, Finance et Risk Management). Administration d’un questionnaire de recueil d’informations, complétée d’entretiens avec les ressources techniques internes et externes.
2. Analyse : Collecte de documents de description des SI, de l’organisation, ainsi que des actifs informatiques clés ; complétée le cas échéant par la documentation financière.
3. Evaluation de la menace : Evaluation du SI et la sécurité des SI en fonction des menaces actuelles. Cartographie des menaces propres à l’entreprise et définition des scénarios les plus significatifs.
4. Impacts financiers : Selon les scénarios de menace, les impacts opérationnels, les moyens de remédiation, puis les conséquences financières résultant des incidents potentiels sont documentés et évalués en collaboration avec les équipes de la société.
5. Préconisations : Une restitution formelle permet de fournir les préconisations tant sur le plan assurantiel que sur le plan cybersécurité.
Contact presse : Léna YOUINOU – 02 98 76 90 13 / 06 43 44 82 91 – lena.youinou@verlingue.fr
(1) Etude Proofpoint menée auprès de 150 responsables de la sécurité des systèmes d'information (RSSI) en France en décembre 2020 (2) Rapport 2021 « LUCY » (LUmière sur la CYberassurance) de l’AMRAE