Fermer la publicité
Journal d'information juridique et d'annonces légales

Laure Zicry : "la cyber-assurance est une protection du bilan"

le - - Droit

Laure Zicry : "la cyber-assurance est une protection du bilan"
© DR - Laure Zicry, Head of Finex Cyber Western Europe chez Willis, a développé l'une des premières polices de cyber-assurance.

Spécialiste de l'assurance des lignes financières, Laure Zicry a acquis une expertise solide dans les grandes sociétés du secteur assurantiel. Cette avocate de formation, devenue experte de l'assurance des cyber-risques, a développé, dès 2009, l'une des premières polices d'assurance du marché. Totalement convaincue par la nécessité de protéger les entreprises des risques liés aux cyberattaques, elle s'est très vite consacrée à ce qu'elle considérait comme un « domaine très intéressant ». À l'époque, cette dernière était « persuadée que les risques allaient évoluer et que 10 ans plus tard tout le monde ne parlerait que de ça ». Entretien avec cette experte au nez creux.

Affiches Parisiennes : Comment définissez-vous les cyber-risques ?

Laure Zicry : Il n'y a pas de définition légale de ces risques. Si vous parlez à une entreprise de fourniture de services informatiques, logiciels informatiques, un courtier en assurance, un avocat ou un entrepreneur, chacun aura sa propre définition. De mon point de vue, la définition des cyber-risques est l'ensemble des conséquences financières résultant d'une atteinte aux données et/ou d'une atteinte aux systèmes informatiques.

si 2017 n'est pas encore terminé, on peut déjà dire que c'est l'année du ransomware

A.-P. : Quels types d'attaques sont les plus courants ?

L. Z. : En France, en haut du podium des cyberattaques on trouve le ransomware, c'est-à-dire la demande de rançon, par exemple WannaCry et Not/Petya. Il s'agit d'une typologie d'attaque très répandue, pas seulement chez nous mais aussi à l'international. Dans 90 % des cas, la technique utilisée pour faire entrer un virus qui va chiffrer les données de l'entreprise et demander une rançon est celle du phishing. La dernière vague est incarnée par le virus Bad Rabbit. Si 2017 n'est pas encore terminée, on peut déjà dire que c'est l'année du ransomware.

Ensuite, on trouve l'attaque par déni de service qui vise à saturer un système d'information par l'envoi de centaines de milliers, voire de millions de requêtes, c'est précisément ce qu'a subi l'hébergeur OVH.

La dernière est l'attaque virale générale par le biais d'un autre type de virus que le ransomware, qui va s'infiltrer dans l'entreprise et avoir pour objet soit de surveiller les flux d'informations, soit d'extraire des données ou encore de bloquer le système.

A.-P. : La fraude au président rentre-t-elle dans les cyberattaques ?

L. Z. : Non, pas du tout, parce que la fraude au faux président se caractérise par un criminel qui se fait passer, par un coup de téléphone ou bien un mail, pour un dirigeant de l'entreprise afin qu'on lui remette de l'argent. L'auteur prétend généralement qu'il s'agit d'une opération ultra-secrète d'acquisition et va parfois jusqu'à usurper l'adresse mail du président.

Il faut savoir qu'il n'est nul besoin de s'infiltrer dans un système d'information pour usurper une adresse électronique. Cela relève donc des cas classiques de fraude, comme le faux président, les faux ordres de virement, la fraude aux faux fournisseurs… et non pas de cyber-risques. Il est toutefois vrai que certaines entreprises ne font pas la distinction et considèrent à tort que cela fait partie des cyber-risques.

A.-P. : Quelles sont les données les plus à risques ?

L. Z. : La préoccupation est à peu près la même dans tous les pays, ce qu'on entend par données à caractère personnel. On y trouve les données bancaires, les données de santé et le reste des données permettant d'identifier un individu. Désormais, on prend conscience, notamment à cause des Gafam (Google Apple, Facebook, Amazon, Microsoft), que la donnée sous-tend toute l'économie et que beaucoup d'entreprises ont fondé leur business model sur l'exploitation celle-ci.

la cyber-assurance est très importante car c'est vraiment une protection du bilan

A.-P. : Quelles sont les conséquences de ces attaques ?

L. Z. : La première est financière. Par exemple, de nombreuses entreprises ont été frappées par le virus NotPetya cet été. Si nous n'avons pas encore de chiffres sur le montant de la facture de l'attaque pour restaurer les données et remettre le système d'information en marche, nous avons déjà des chiffres qui permettent d'en connaître l'impact sur le bilan.

Il y a effectivement des entreprises qui ont déclaré des pertes de chiffre d'affaires à hauteur de 200 ou 300 millions d'euros et certaines ont mis des warnings précisant qu'elles n'atteindraient pas les projections de CA annuel. Comme l'entreprise est paralysée et que le système d'information ne fonctionne plus, la production est arrêtée ce qui touche forcément le bilan. La seconde conséquence est technique et organisationnelle car la protection du système d'information doit souvent être repensée.

A.-P. : Quels outils doit-on mettre en place pour s'en prévaloir ?

L. Z. : En plus d'une cartographie des risques, la cyber-assurance est très importante car c'est vraiment une protection du bilan. Elle offre évidemment des couvertures qui aident l'entreprise à se remettre en ordre de marche après une attaque, mais il faut surtout la voir comme une police de protection du bilan.

De 30 à 40 % d'entreprises du CAC 40 souscrivent une police de cyber-assurance

A.-P. : Y a-t-il beaucoup d'entreprises qui souscrivent une police de cyber-assurance ?

L. Z. : Concrètement, sur les grandes sociétés, et plus spécifiquement celles du CAC 40, 30 à 40 % des entreprises sont assurées. Malheureusement, nous n'avons pas de chiffres sur le reste du maillage français. Mais nous n'en sommes qu'au début car l'assurance cyber est née il y a seulement cinq ans.

Il se dessine très clairement une évolution dans ce sens. Cela fait 7 ou 8 ans que je m'intéresse à ce risque, et on a souvent taxé mes scénarii de science-fiction. En 2013-2014, nous avons vraiment commencé chez Gras Savoye à faire beaucoup de présentations aux clients, et nous nous sommes retrouvés face à des entreprises qui ne se sentaient pas du tout exposées au risque. Au fur et à mesure, nous voyons que les mentalités ont changé, notamment grâce aux formations et au fait qu'il y ait de plus en plus d'attaques médiatisées. Pourtant, des attaques il y en a toujours eu. Le changement vient de la médiatisation et aussi d'une communication plus transparente des entreprises lorsqu'elles ont été attaquées. Le fameux tabou de la victime a été levé.

Désormais, quand on fait une présentation à un client ou que ce dernier nous appelle, le discours a changé et il y a de plus en plus une demande des dirigeants, du Comex ou du senior management qui prend conscience de l'ampleur du cyber-risque. Par ailleurs, avec l'arrivée du RGPD (Règlement général à la protection des données) en mai 2018, les entreprises ont compris qu'elles auront bientôt de nouvelles obligations. Elles seront de plus en plus nombreuses à avoir recours à l'assurance pour se préparer à cette nouvelle réglementation européenne.

Biographie express de Laure Zicry
Diplôme : Certificat d'aptitude à la profession d'avocat (CAPA)
Poste actuel : Head of Finex Cyber pour la région Western Europe de Willis Towers Watson, depuis octobre 2017.
Expériences professionnelles : Gestionnaire sinistres et spécialiste en responsabilité civile et lignes financières pour les groupes d'assurances Gras Savoye et Aon ; Legal counsel Europe continentale chez CNA Europe ; formatrice professionnelle pour deux instituts spécialisés dans l'assurance ; auteure de nombreux articles et ouvrages techniques.
Fait notable : Laure Zicry a créé et développé la branche responsabilité civile professionnelle pour Nassau, une compagnie d'assurance Néerlandaise aujourd'hui rachetée par HDI Gerling, au sein de laquelle elle a développé le premier contrat d'assurance cyber risks.
Compétences : sensibiliser les clients aux cyber-risques, présenter le marché de l'assurance cyber, analyser et identifier dans les contrats d'assurance traditionnelles si des couvertures cyber sont présentes, déterminer la stratégie de transfert du risque cyber à l'assurance la plus adéquate selon les clients et leurs expositions aux risques, approcher le marché de l'assurance afin d'obtenir les meilleurs termes et conditions.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer