Que dit l’assureur du risque cyber ?
Les assureurs sont de plus en plus confrontés aux problématiques du risque cyber. Emmanuel Renouvin, directeur commercial pour Ovatio – courtier en risques spéciaux – nous explique comment il aborde le sujet pour ses clients et leur activité.
Pouvez-vous nous expliquer votre activité en quelques mots ?
Ovatio est une société de conseil et de gestion des risques des industries culturelles et créatives en Europe. Nos clients sont notamment des artistes, des festivals ou encore des producteurs de spectacles. Notre activité emblématique porte sur la garantie « annulation » pour ce type de prestations.
Notre spécialité est de proposer des garanties pour des risques que les assureurs traditionnels ne couvrent généralement pas : menace d’attentat, météo problématique sur un événement en plein air, chanteur malade, etc…
Comment abordez-vous le sujet du risque cyber ?
Il existe aujourd’hui une garantie cyber proposée par la majorité des assureurs. Cette garantie est standardisée, c’est-à-dire qu’elle reste la même que vous soyez une PME dans l’artisanat ou un gigantesque constructeur automobile. Or toutes les entreprises n’ont pas le même niveau de risque.
Les PME et TPE sont souvent démunies face au sujet : comment me protéger des attaques ? Quelles sont mes failles ? Que dois-je garantir à mes clients ? Comment me mettre en conformité avec le nouveau RGPD (règlement européen sur la protection des données personnelles) ?
Nous avons l’habitude de personnaliser nos réponses, c’est pourquoi je travaille à une offre sur-mesure, adaptée à la typologie de nos clients.
Quelle est la particularité du secteur événementiel ?
Aujourd’hui la garantie se souscrit grâce à un questionnaire, censé établir le niveau de sécurité à date de l’entreprise. En fonction des réponses, l’assureur module son offre. Il peut exclure un risque s’il considère que l’entreprise ne s’est pas suffisamment protégée en amont.
Or, nos clients sont des producteurs d’événements qui peuvent travailler pendant huit mois sur un projet qui va se dérouler sur quelques jours seulement. Nous ne pouvons pas nous permettre d’exclure une garantie ou encore d’appliquer des franchises de durée (ex : une franchise de 24h) qui n’aurait pas de sens dans l’événementiel.
Pouvez-vous nous donner des exemples ?
Prenons le cas d’une billetterie piratée et dont les données seraient volées. L’organisateur se devrait de notifier l’ensemble de sa base client qu’il a subi une attaque. Pour lui, en plus du dommage de l’attaque en elle-même, il devrait assumer le coût de la notification à l’ensemble de ses clients.
A titre d’exemple, 37.000 personnes ont assisté au 1er concert des Rolling Stones à la U Arena en Octobre. Imaginez le coût de 37.000 recommandés à envoyer par le producteur à ses clients…
Prenons l’autre cas d’une attaque de système de paiement cashless : cela peut constituer en quelques minutes des dizaines de milliers d’euros de perte d’exploitation pour les producteurs.
Or, le risque ne cesse de grandir du fait de la dématérialisation et de la transformation digitale de tous les secteurs. De plus en plus de gros événements sont victimes d’attaques. Le très renommé festival Coachella, par exemple, s’est fait hacker et voler les données personnelles de ses visiteurs cette année.
Les attaques viennent du monde entier et la montée en compétences des hackers va souvent plus vite que le niveau de protection des entreprises…
Mais au fond ce risque est-il assurable ?
S’il est sûr que ce risque est assurable, il faut que nos clients soient conscients de leur vulnérabilité. Il faut mettre en place des moyens informatiques mais aussi des moyens humains et des pratiques sécuritaires. En réalité, nous devons accompagner nos clients pour qu’ils sécurisent leurs systèmes.
Pour nous, il y a deux sujets : la protection initiale du client et la chaîne de responsabilité juridique. Répondre à ces deux questions est aujourd’hui le principal enjeu de l’assureur, selon moi.