Chrome 38+
Firefox 33+
Microsoft Edge+
Les conseils d’administration doivent rester au fait de l’évolution des marchés des cyberassurances
Des changements récents dans la façon dont les assureurs couvrent les cyberrisques peuvent nécessiter des modifications à la manière dont les sociétés s’assurent contre ce risque. Il est donc impératif que les membres du conseil d’administration soient mieux informés de la façon dont l’évolution du marché des assurances peut affecter la couverture de ces risques pour leur société.
Pourtant, selon le sondage mondial de 2019 de Marsh et Microsoft sur la perception des cyberrisques, le conseil d’administration et la direction de bon nombre de sociétés sont peu mobilisés par rapport aux cyberrisques, ce qui est préoccupant. De plus, dans de nombreuses entreprises où la haute direction n’est pas assez mobilisée, les pratiques utilisées manquent d’efficacité, considérant l’importance critique des cyberrisques.
Les assureurs décident de reconnaître ou d’exclure les cyberrisques
À mesure que les nouvelles technologies et les nouveaux appareils complexifient les profils de risques organisationnels, les membres du conseil d’administration et les hauts dirigeants doivent être conscients que dans les marchés traditionnels, les assureurs sont en train d’exclure une grande partie de ces risques de la couverture offerte par les polices non liées aux cyberassurances. L’objectif est d’éliminer la couverture involontaire des cyberrisques dans ces polices, telles que les assurances de biens et de dommages, un phénomène connu sous le nom de « cyberrisque silencieux ».
Par exemple, Lloyd’s of London adopte désormais la position que toutes les polices d’assurances de biens et de dommages doivent exclure ou inclure expressément la couverture des cyberrisques à partir de janvier 2020.
Face à une tempête apparemment parfaite d’augmentation des risques et de diminution de la couverture, une approche plus claire et plus nuancée est nécessaire pour gérer les risques associés à l’exploitation d’une entreprise, qui comprendrait non seulement un vaste programme de cyberassurance, mais aussi le traitement des problèmes de cybersécurité comme des risques opérationnels.
Les conseils d’administration et les hauts dirigeants « silencieux » à propos de la gestion des cyberrisques
Les résultats de notre sondage sur la cybersécurité de 2019 suggèrent qu’il existe une autre forme de cyberrisques « silencieux ». Les cyberrisques sont désormais considérés comme une des cinq principales préoccupations en matière de risques par 80 % des sociétés. Cependant, les ressources et le temps qu’elles y consacrent, ainsi que leur gestion et leur manière d’établir les priorités ne sont pas adéquats pour les gérer efficacement.
Dans de nombreux cas, les sociétés gèrent « silencieusement » les cyberrisques. Par exemple, seulement 16 % des dirigeants et des conseils d’administration déclarent consacrer plus de quelques jours par an aux problèmes liés aux cyberrisques. En outre, 88 % considèrent les services de technologie de l’information comme les principaux responsables de la gestion des cyberrisques, avant même le conseil d’administration et le service de la gestion des risques.
Ce « silence » organisationnel à propos des cyberrisques se traduit par de faibles niveaux de confiance en la cybersécurité. Dans l’ensemble, seulement 11 % des sociétés ont déclaré avoir une grande confiance dans leur capacité à comprendre, à prévenir et à réagir aux cyberrisques. De plus, les sociétés qui mentionnent le manque de soutien ou l’absence de mandat de la part des dirigeants pour faire face aux cyberrisques sont encore moins confiantes quant à leurs capacités à réagir de manière appropriée.
Le décalage est frappant : les cybermenaces exigent une stratégie rigoureuse de gestion des risques, mais de nombreuses sociétés ainsi que leurs dirigeants délèguent le problème ou le mettent de côté.
Assumer la responsabilité des cyberrisques au niveau du conseil d’administration
Les membres du conseil d’administration et les hauts dirigeants doivent assumer activement la responsabilité des cyberrisques et s’assurer qu’un cadre stratégique de gestion des risques est mis en place. Ils doivent aussi s’assurer qu’ils comprennent parfaitement leurs programmes d’assurances et les protections que ceux-ci peuvent offrir.
Un bon point de départ consiste à s’assurer qu’ils ont les conversations appropriées avec les professionnels du risque concernant l’exposition aux cyberrisques de leur société et la manière dont leurs programmes d’assurances les protégeront – ou non.
Il est tout aussi important d’analyser l’exposition aux cyberrisques en termes économiques afin de permettre la comparaison avec les autres risques d’entreprise, d’optimiser la répartition du capital dans les domaines de la réduction des risques, de l’assurance ou d’autres secteurs renforçant la résilience, et de mesurer l’impact des dépenses sur la diminution des cyberrisques.
Enfin, étant donné que les cybermenaces constituent désormais une préoccupation stratégique devant être prise en charge par la direction, l’évaluation, la mesure et la gestion des cyberrisques devraient figurer régulièrement à l’ordre du jour des réunions des conseils d’administration.