Mercredi 12 février 2025, ÉMISSIONS SPÉCIALES reçoit Diane Maccury (France country manager, Charles Taylor Adjusting) et Daphné Naudy (Director of development for continental Europe, Charles Taylor Adjusting)
Catégorie
🗞
NewsTranscription
00:00Bonjour à toutes et à tous, vous êtes sur Bsmart4Change pour une nouvelle édition de
00:09Safe, parlons risque, une émission consacrée aux enjeux du risk management et de l'assurance.
00:14Aujourd'hui, on va parler d'un sujet ô combien primordial pour les entreprises,
00:17le risque cyber. Si ce dernier s'est stabilisé au fil de l'année 2023, il demeure la principale
00:24préoccupation des entreprises en témoigne de l'attention toute particulière de législateurs
00:29et de l'inflation réglementaire, DORA, NIS2, prochainement Cyber Résilience Act,
00:33de nombreux textes pour encourager les entreprises à renforcer leurs dispositifs
00:38de prévention et de remédiation et ce, sur l'ensemble de la chaîne de valeurs,
00:42se posent les questions nécessairement des conséquences matérielles et immatérielles.
00:46Pour ce faire, j'ai le plaisir d'accueillir en plateau Daphné Naudy, vous êtes directrice
00:51développement UK et Europe au sein de Charles Taylor Adjusting. Bonjour Daphné.
00:55Bonjour.
00:56Et à vos côtés Diane Macuri, vous êtes directrice France pour Charles Taylor Adjusting également,
01:00merci à tous les deux d'être des nôtres.
01:01Bonjour Jonathan.
01:02Effectivement, vaste sujet comme je l'évoquais, sujet primordial, principale préoccupation pour
01:07les entreprises sur cette année encore. J'ignore si c'est clair effectivement pour l'ensemble de
01:11notre spectateur donc j'aimerais commencer par une vue d'ensemble. Je me tourne vers vous Diane,
01:16quelles sont les conséquences d'une attaque cyber aujourd'hui ?
01:19Alors en premier lieu Jonathan, on pense à l'attaque, il y a un impact financier pour
01:23l'entreprise mais au-delà de cet impact financier, il ne faut pas oublier qu'il y a
01:27aussi un impact réputationnel, psychologique pour les employés aussi à prendre en compte,
01:33légal et effectivement relationnel, gérer les impacts aussi avec les clients qui
01:39peuvent être éventuellement concernés.
01:41Donc de l'importance effectivement d'accompagner l'ensemble de sa chaîne de valeurs aussi,
01:46d'accompagner également les dirigeants. Vous mentionnez justement le volet réputationnel,
01:51ça fait partie effectivement des conséquences immatérielles pour lesquelles vous pouvez
01:56intervenir aussi en tant qu'experts de l'assurance ?
01:57Tout à fait, alors il y a d'abord la réponse à l'incident qui va être les premières
02:01rémédiations et aide des assurés et puis ensuite toute la partie analyse financière
02:08des conséquences de cet impact. Mais en tout premier lieu, il va vraiment falloir accompagner
02:13l'entreprise pour qu'elle puisse reprendre son activité dans les meilleurs délais et avec le
02:17moins d'impact possible pour celle-ci.
02:20Cela comprend également le volet AIT, enfin tout ce qui est remédiation AIT également,
02:24ce qui font partie des conséquences sur lequel vous pouvez accompagner également les assurés.
02:28Tout à fait, tout à fait et c'est la clé.
02:30Daphné, vous voulez peut-être réagir ?
02:31Oui, il faut savoir qu'une crise bien gérée peut parfois être une publicité positive pour
02:38une marque. Ça veut dire qu'aujourd'hui les gens sont au courant qu'une attaque cyber peut
02:44arriver et c'est systémique. Donc la question c'est plus vraiment si on va être attaqué mais
02:49quand ? Et finalement une entreprise petite ou grande qui va avoir une gestion efficace de
02:57cette crise cyber, qui va avoir une bonne communication auprès des clients, bien ça
03:02peut se retourner favorablement au niveau de son image dans la gestion de crise en général.
03:07Donc ce n'est pas forcément toujours négatif.
03:09Et on parle aujourd'hui de plus en plus de résilience numérique aussi, ça comprend
03:14cette capacité de rebond, cette réactivité, cette agilité là aussi. Dans les moments de
03:18remédiation, s'il y a bien un point effectivement qu'on aborde assez peu lorsque l'on parle de
03:23crise cyber, ce sont les répercussions financières. Et je me tourne vers les deux
03:27expertes que vous êtes pour savoir comment s'articule le chiffrage effectué par l'expert
03:32d'assurance ? Sur quelle garantie est-ce qu'il repose ? Et quels sont vos critères d'évaluation ?
03:37Alors en réalité le côté financier, le volet financier d'une attaque cyber va entrer dans la
03:45garantie perte d'exploitation des polices d'assurance. Toutes les polices d'assurance ont
03:50cette garantie. Cette garantie perte d'exploitation va comprendre à la fois ce qu'on appelle la perte
03:54d'exploitation financière et les surcoûts d'exploitation, dessous volet. La perte d'exploitation,
04:00comment, sur quels critères on va se baser pour la calculer ? C'est très simple pour nous experts,
04:05finalement on va se fier aux définitions des polices d'assurance. Ça veut dire qu'on va
04:09prendre la police, les définitions et on va appliquer la définition. Voilà. Il y a plusieurs
04:15méthodes. C'est comptable. En l'occurrence il y a principalement deux méthodes de calcul
04:21différentes sur le marché français aujourd'hui. En théorie on arrive au même résultat. Néanmoins,
04:28ces deux méthodes vont avoir un résultat différent parce qu'une méthode est peut-être plus adaptée
04:33aux entreprises industrielles et une autre va être peut-être plus adaptée aux sociétés de
04:40service ou en tout cas va comprendre les différences entre un site industriel et un site de société de
04:46service. Pratiquement, ce qui va être pris en compte c'est la perte de chiffre d'affaires sur
04:52la période et ça va être finalement de réaliser quelles ont été sur cette période impactée les
05:01économies réalisées. C'est quelque chose qui est difficile à concevoir lorsqu'on est victime d'une
05:05attaque cyber et qu'on perd du chiffre d'affaires, qu'on ne peut pas travailler, d'imaginer qu'on
05:09réalise des économies. Néanmoins, d'un point de vue comptable, c'est le cas. Donc finalement, d'un point
05:15de vue de l'expert, on va devoir délimiter la période où l'impact de l'attaque cyber est direct
05:22et établi. Ça peut durer plusieurs mois, quelques semaines à plusieurs mois et sur cette période on
05:30va venir analyser finalement la perte de chiffre d'affaires et surtout la perte financière pour
05:39qu'une fois que l'entreprise reçoit son indemnisation, elle se retrouve au même niveau comptable qu'elle
05:46aurait été sans sinistre. Pour ça, on va étudier la situation réelle, c'est-à-dire qu'est-ce qui
05:53s'est passé avec le sinistre et on va estimer la situation projetée. Qu'est-ce qu'aurait été la
06:00situation sans sinistre ? Il y a des difficultés évidemment à faire cela mais bon c'est notre
06:06travail. Lesquelles ? Les difficultés c'est qu'on nous demande de prévoir quelque chose qui ne
06:12s'est pas réalisé. Nous on n'est pas magicien, on n'a pas de boule de cristal donc on va se fier
06:16aux tendances des années précédentes, aux tendances des marchés mais on va se fier surtout sur des
06:21tendances. On ne va pas être forcément d'une précision horlogère. Néanmoins, c'est là où
06:29on peut avoir des discussions puisqu'il peut y avoir d'autres facteurs externes qui vont venir
06:34impacter l'économie de la société, de l'entreprise. Par exemple, l'inflation. Les prix augmentent donc
06:42les clients seraient partis parce qu'on augmente nos prix et là les clients sont partis parce que
06:47de façon contemporaine on a eu une attaque cyber. Donc est-ce que les clients sont partis parce
06:52qu'il y a eu l'attaque cyber ou est-ce qu'ils seraient partis de toute façon parce qu'il y a
06:56eu une inflation forte sur ce secteur d'activité par exemple ? Tout ça est à prendre en compte et
07:02ça engage énormément de discussions. Néanmoins, sur les pertes d'exploitation en général on va
07:09se focaliser sur le compte des résultats et ce sont des calculs somme toute comptables et financiers.
07:17Ce que je remarque c'est qu'en règle générale les entreprises qui subissent une cyberattaque ne
07:25sont pas toujours renseignées sur le mode de calcul de leur perte financière et finalement
07:35n'ont pas vraiment anticipé quel allait être le montant qu'elle allait recevoir comme indemnisation.
07:41Et donc les premières réunions c'est toujours important de bien faire le point sur qu'est-ce
07:46qui est garanti, la méthode de calcul pour essayer de gérer les attentes parce que peut-être qu'une
07:52entreprise va penser qu'on va lui indemniser la perte de chiffre d'affaires sur la période. Or ce
07:58n'est pas le cas et il y a toute une façon pédagogique de gérer les débuts de dossier et
08:04je pense que c'est important pour ceux qui nous regardent de se renseigner sur qu'est-ce qui est
08:10garanti et comment la perte va être calculée. Pour ça ils peuvent se renseigner auprès de leur
08:14courtier qui leur a vendu la police ou même faire appel à des experts d'assurés ou demander à leur
08:21directeur financier de faire une simulation c'est-à-dire en appliquant les conditions de la
08:25police. Si j'arrête mon activité pendant un mois et bien qu'est-ce qui se passe ? Combien je recevrai
08:31d'argent ? Voilà ça permet de préparer à ce qui pourrait arriver en cas d'attaque cyber.
08:37En ce sens vous qui suivez effectivement la sinistralité cyber, c'est aussi votre métier,
08:42vous suivez également de près les évolutions contractuelles, les évolutions de police et de
08:46couverture de la paralysation, est-ce qu'il y a eu des grands jalons, des grandes modifications
08:51au sein des polices émises par les assureurs cyber ? Alors moi je dirais que je n'en ai pas
08:57vu aujourd'hui. En tout cas du point de vue des pertes financières, les grands assureurs sont
09:04restés sur les mêmes formulations de police. Ce que je vois en revanche c'est que certains courtiers
09:10souhaitent faire bouger les lignes et souhaitent développer ou en tout cas faire développer aux
09:17assureurs des produits un petit peu plus adaptés aux sociétés de services en particulier qui sont
09:24parfois démunis par rapport aux méthodes de calcul qui sont présentées dans les polices aujourd'hui.
09:29C'est ce que je retiens en termes de chiffrage de la perte d'exploitation, en termes de méthodologie
09:34expertale, il y a un grand distinguo entre la société industrielle et la société de service,
09:39c'est bien ça ? Oui, c'est-à-dire qu'aujourd'hui les polices d'assurance sur le volet perte
09:45d'exploitation sur le cyber sont un copier-coller des polices d'hommage. Ces polices d'hommage vont
09:53être plus adaptées aux sociétés industrielles. Évidemment il y a une évolution, les assureurs
09:59prennent conscience que la formulation des articles et des définitions de la perte d'exploitation ne
10:06sont pas forcément adaptées aux sociétés de service. Néanmoins les évolutions sont un petit
10:13peu dans les tuyaux probablement mais ne sont pas encore abouties aujourd'hui. Je sais que les
10:19courtiers en ont pleinement conscience parce qu'évidemment c'est eux qui vendent des polices
10:24et les assurés parfois quand ils ont un sinistre trouvent qu'ils n'ont pas été en tout cas couverts
10:31comme ils l'entendaient et donc les courtiers sont assez moteurs dans l'évolution je trouve du marché
10:36et de la perte d'exploitation. A l'instar même de cette sinistralité assez mouvante, on voit aussi
10:40d'un point de vue couverture et polisation, c'est aussi un crémental step by step. J'aimerais conclure
10:44par ce point, je me tente vers vous Diane, comment les entreprises peuvent-elles aujourd'hui se
10:48préparer pour faire face au risque de perte d'exploitation induit par une attaque cyber ?
10:53C'est une très bonne question Jonathan, vous faites bien de la soulever parce que pour moi c'est
10:56vraiment la clé en fait parce qu'en fait aucune entreprise ne sera épargnée. On voit clairement
11:02même les TPE qui pensent être je pense à l'abri, on a une forte augmentation quand même pour elles
11:09d'attaques cyber, plus 50% sur les cinq dernières années, c'est assez conséquent et la clé dans
11:16tout ça c'est la préparation, donc formation des employés et également un plan d'action pour,
11:24en cas d'attaque, savoir quoi faire et intervenir au plus vite et au plus juste en fait. Donc ça va
11:31couvrir tout, que ce soit l'IT mais aussi les employés, les vendeurs, toute la chaîne
11:38de production peut être impactée donc c'est vraiment important d'impliquer tous les
11:42collaborateurs d'une entreprise. A cet égard on évoque souvent le distinguo entre les grands et
11:46les petits, on parle même de fractures numériques, est-ce que vous estimez qu'il y a là aussi pour
11:50les grands et les petits une fracture assurancielle lorsqu'il s'agit effectivement de se prémunir du
11:53risque cyber ? De moins en moins j'aurais tendance à dire mais je pense que l'impact est encore
12:00largement sous-estimé notamment pour ces TPE. D'accord, si vous voulez rajouter quelque chose,
12:06quelques bonnes pratiques, quelques bons conseils. Oui, alors d'un point de vue financier parce que
12:10le volet financier représente en général le plus gros volet des attaques cyber, en tout cas le
12:16plus gros impact des attaques cyber sur les entreprises. Simplement le conseil que je peux
12:23donner, petites ou grandes entreprises, c'est de comprendre votre police d'assurance et comprendre
12:30pourquoi vous êtes garantie et éventuellement faire une simulation pour que ça devienne
12:37concret, savoir combien vous allez être indemnisé si vous avez une attaque cyber qui vous mobilise
12:42pendant un mois, ce qui est une période qui est quand même assez courante pour une attaque cyber,
12:46une immobilisation de vos moyens pendant un mois, et bien faites le calcul selon la méthode de la
12:52police sur la base des chiffres que vous avez pour avoir un ordre de grandeur et vous serez
12:57de cela plus préparé aux méthodes de vos assurances et vous serez beaucoup plus à l'aise
13:03parce que vous saurez quels documents il faut donner, quelle méthode va être appliquée et ça
13:08sera beaucoup plus fluide et cette fluidité vous permettra d'être indemnisé plus rapidement parce
13:13que le dossier sera géré plus rapidement. Le délai de gestion est également très important pour vous
13:18évidemment assuré et plus on va vite, plus vous avez de chance d'avoir un à compte par exemple
13:25sur ce volet là. De toutes les manières effectivement ce qu'il faut en retenir c'est
13:28aussi bien pour les assureurs ou les assurés, il faut de la réactivité et de l'agilité. Merci à
13:33toutes les deux pour ces précieux éclairages pour nous permettre au mieux effectivement de se préparer
13:38aux conséquences immatérielles et financières d'une attaque cyber. Merci à toutes et tous
13:42pour votre fidélité, vous restez avec nous sur BeSmart4Change.