À l'ère « digitale », les risques liés à la cybersécurité deviennent critiques pour nombre d'entreprises et constituent donc un enjeu majeur dans les compagnies d'assurance. Après une première génération de contrats, relativement basique, AIG dévoilait il y a peu une approche beaucoup plus pointue du sujet, mixant prévention et couverture.
Entre la multiplication des fuites massives d'informations sensibles (dont celle d'Equifax parmi les plus récentes), dans toutes sortes de secteurs, la sophistication croissante des menaces et des malveillances et le renforcement de l'arsenal réglementaire, relatif, par exemple, à la protection des données personnelles (via le RGPD), la cybersécurité est (ou devrait être) aujourd'hui un sujet d'inquiétude dominant dans toutes les organisations. Malheureusement, beaucoup d'entre elles manquent de solutions adaptées.
Depuis quelques mois, les compagnies d'assurance ont commencé à mettre en place des polices destinées à répondre à leur désarroi, en offrant – a minima – des garanties en cas de sinistre, consistant généralement en assistance à la restauration des services perturbés ou à l'indemnisation des dommages occasionnés par un incident. Pour accompagner la montée des risques et en capitalisant sur l'expérience déjà acquise avec ces premiers contrats, il est maintenant temps de passer à un niveau supérieur.
Les clients d'AIG peuvent ainsi bénéficier d'un audit de leurs infrastructures. Après analyse des systèmes face à un ensemble de scénarios d'attaque connus, ils reçoivent un rapport détaillé leur procurant une vue précise de l'état de leurs défenses et esquissant des recommandations afin de renforcer leurs protections. L'objectif initial du service est de renforcer la sensibilisation des entreprises aux risques qu'elles encourent. Mais il en est un autre, qui prendra rapidement de l'importance : la compagnie pourra ajuster ses conditions d'assurance selon la situation telle qu'elle est évaluée sur le terrain.
Certains observateurs relèvent que les tests de sécurité réalisés sont rudimentaires et ne seraient, en conséquence, pas suffisants pour être réellement efficaces. C'est oublier que, dans la plupart des entreprises, les précautions minimales ne sont pas mises en œuvre, faute d'expertise. La solution proposée par AIG a ainsi, d'abord, un rôle pédagogique, qui se double d'une première couche de conseils simples dont la valeur peut s'avérer inestimable. De surcroît, il ne fait nul doute que l'assureur pourra progressivement envisager de raffiner son approche, au fil de son appropriation par les clients.
En combinant d'emblée des objectifs de prévention et d'ajustement de la couverture par une analyse (plus ou moins automatisée) de l'exposition de l'entreprise en matière de cybersécurité, la démarche d'AIG représente en quelque sorte un modèle pour l'assurance de demain. En effet, avec la prolifération de sources de données, la mesure effective des risques (bientôt en temps réel) et la capacité à personnaliser les conditions de protection vont progressivement pouvoir se généraliser dans tous les domaines.