Skip to Main Content
Service clientCommencer
Sélectionner une langue
Connexion de l’agent
30 septembre 2024

Assurance cloud et protection des données : une couverture pour préserver nos vies en ligne

Le passage du secteur de l’assurance au cloud a atteint une masse critique. Aujourd’hui, de nombreux assureurs ne se contentent pas de stocker des données dans le cloud, mais utilisent également des plateformes logicielles et d’autres outils pour exploiter les données basées sur le cloud de nouvelles manières, explique Nischal Kapoor d’IBM.

L’essor du cloud a entraîné une augmentation correspondante de la demande de couverture d’assurance pour les risques liés au cloud, y compris la perte de données et les cyberattaques. Connue sous le nom d’assurance cloud, de cyberassurance ou d’assurance protection des données, cette couverture offre aux clients la tranquillité d’esprit lorsqu’ils exploitent les opportunités offertes par le cloud computing.

L’assurance cloud représente également une opportunité pour les assureurs non seulement d’utiliser le cloud eux-mêmes, mais aussi d’établir des relations commerciales et clients en fournissant un produit d’assurance nécessaire et souhaité.

Qu’est-ce que l’assurance protection des données ?

Les violations de données coûtent cher, en particulier aux États-Unis. Le coût moyen total d’une violation de données aux États-Unis est de 8,19 millions de dollars, soit plus du double de la moyenne mondiale, explique Larry Ponemon, président et fondateur du Ponemon Institute, qui se concentre sur la confidentialité et la protection des données. De plus, le temps moyen qu’il faut à une organisation pour identifier et contenir une violation de données se compte en semaines et en mois.

L’assurance protection des données protège les organisations en cas de violation ou de perte de données, explique Chris Brook de Data Insider. Souvent, il est inclus dans une police qui couvre également les pertes de données causées par des événements non malveillants, comme une panne de courant ou des dommages matériels sur un serveur qui héberge les données cloud du client. Il existe également une couverture pour les cyberattaques qui met l’accent sur les pertes liées à une tentative de vol de données.

Actuellement, de nombreuses polices d’assurance cyber sont intégrées aux polices de responsabilité civile commerciale existantes, explique Andrzej Kawalec, ancien directeur technique de Vodafone. Ces politiques sont souvent universelles. D’autres fois, elles peuvent être mal définies, impossibles à distinguer de la police d’assurance responsabilité civile commerciale existante ou inadéquates pour traiter les risques de perte de données connus.

Compte tenu de ces lacunes, Kawalec recommande une approche différente de la couverture du cloud et de la protection des données. « Cela permettra aux assureurs d’améliorer les taux de sinistres tout en offrant aux clients de meilleures polices alignées sur leur risque commercial spécifique », a-t-il déclaré.

Gouvernement, protection des données et assurance

L’adoption du Règlement général sur la protection des données (RGPD) de l’UE, ainsi que la discussion de lois similaires dans diverses juridictions américaines comme la Californie, ont incité de nombreuses entreprises à réfléchir plus attentivement aux risques de protection des données et à la manière de les gérer.

« Nous constatons un intérêt beaucoup plus grand pour la couverture cyber », déclare Mark Camillo, responsable de la cybersécurité pour la région EMEA chez AIG. En fait, AIG affirme que ses activités cyber européennes ont augmenté de 50 % entre mai 2017 et mai 2018, car de plus en plus d’entreprises ont cherché à obtenir une couverture spécifique pour leurs données et opérations en ligne face au RGPD.

Par exemple, le RGPD exige que de nombreuses organisations nomment un délégué à la protection des données (DPD) indépendant, dont le rôle est de surveiller la sécurité des données et d’assurer la conformité au RGPD. La création d’un poste de DPD peut obliger les entreprises à revoir et à modifier leur cyberassurance existante, ou elle peut inciter à l’achat d’une couverture supplémentaire, expliquent Dan Burke et Priya Cherian Huskins chez Woodruff Sawyer.

Aux États-Unis, les entreprises sont confrontées à un patchwork de lois et de réglementations en matière de sécurité des données. Par exemple, la Caroline du Sud a récemment adopté une loi sur la sécurité des données qui est similaire à un ensemble de réglementations sur la sécurité des données créées par New York. La Californie, le Rhode Island et un certain nombre d’autres États envisagent également d’adopter des lois affectant les entreprises qui cherchent à faire des affaires à l’intérieur de leurs frontières, a déclaré Christopher M. Brubaker de PropertyCasualty360.

Ces facteurs, ainsi que la sensibilisation croissante du public aux risques de violation de données et sa volonté d’intenter des poursuites lorsqu’il s’estime lésé par une violation, suscitent également l’intérêt pour le cloud et l’assurance protection des données.

Cependant, de nombreux clients ne comprennent pas les risques liés aux données basées sur le cloud, et la loi fédérale ne fournit pas encore de directives uniformes sur tous les aspects des violations de cybersécurité et de la protection des données, explique Nat Wienecke de la Property Casualty Insurers Association of America (PCIAA). Si cette confusion peut rendre plus difficile le développement de produits d’assurance protection des données, elle peut également constituer une opportunité commerciale pour les assureurs.

Développer des activités dans le cloud et l’assurance protection des données

Tous les clients ne comprennent pas la nécessité d’une couverture de protection des données, que leurs systèmes soient basés ou non sur le cloud. Même lorsqu’il existe un besoin, les clients peuvent ne pas comprendre que les lois créant un besoin de couverture, comme le RGPD ou les lois de divers États américains, s’appliquent à leur entreprise, explique Yakir Golan, PDG de Kovrr.

Les compagnies d’assurance peuvent saisir l’occasion cachée dans cette confusion, en éduquant les clients et en répondant à leurs besoins.

Des lois telles que le Règlement général sur la protection des données (RGPD) de l’UE ont d’abord suscité des inquiétudes chez les assureurs. Plutôt que d’être perçu comme une opportunité d’améliorer l’analyse des risques et la communication avec les clients, certains y ont vu une menace.

Le RGPD et les lois similaires soulèvent des inquiétudes à la fois pour les compagnies d’assurance et d’autres entreprises en raison de leur approche globale de la protection des données. Par exemple, en vertu du RGPD, « des violations peuvent survenir même lorsqu’il n’y a pas eu de violation d’informations protégées. Les entreprises peuvent se voir imposer des amendes simplement parce qu’elles ne respectent pas les conditions de leur propre politique de confidentialité », explique Joshua Motta, cofondateur et chef de la direction de Coalition, qui se spécialise dans la couverture d’assurance cybernétique.

Lorsque les lois sur la protection des données créent de nouveaux risques liés à la collecte de données ou à l’utilisation du stockage dans le cloud, les polices de responsabilité existantes peuvent ne pas fournir la protection souhaitée et nécessaire par les clients. Lorsque les assureurs tentent de regrouper la protection des données dans une autre couverture de responsabilité civile, les clients peuvent se retrouver sans la couverture dont ils ont besoin (et qu’ils auraient été heureux de payer).

Un manque de transparence dans la tarification de la cyberassurance peut ne servir ni les assureurs ni les clients, écrivent la chercheuse Sasha Romanovsky et ses co-auteurs dans un article publié en 2019 dans le Journal of Cybersecurity. M. Romanovsky et son équipe ont analysé les polices d’assurance contre la cybersécurité pour déterminer les risques qu’elles couvrent actuellement et la façon dont les assureurs recueillent des informations pour analyser ces risques.

Lorsque les assureurs utilisent des méthodes désuètes pour comprendre les risques ou fixer le prix des produits d’assurance, ils peuvent être insatisfaits, ainsi que leurs clients. Il est essentiel pour les compagnies d’assurance de rester à l’affût de ces changements et de fidéliser leurs clients.

Les lois européennes pourraient-elles aider les assureurs américains ?

Les exigences du RGPD et des lois similaires sur la protection des données ont causé des maux de tête à de nombreux dirigeants de l’assurance. Cependant, ces lois offrent également une opportunité aux compagnies d’assurance en créant un espace permettant aux assureurs de devenir les experts résidents en matière de cyber-risque.

Étant donné que des lois comme le RGPD exigent que des informations sur les cyberattaques soient collectées, elles peuvent en fait aider les compagnies d’assurance à tarifer plus efficacement la couverture de protection des données, explique Mark Bannon, qui travaille dans le domaine de la cyberresponsabilité chez Zurich Insurance. Ces informations pourraient également aider les assureurs à offrir un niveau d’expertise sur les cyberrisques dont les entreprises ont besoin.

À l’heure actuelle, les entreprises recherchent une assurance contre les cyberrisques afin d’atteindre divers objectifs, explique M. Bannon. Cependant, la demande de couverture du cloud et de la protection des données peut être compliquée à la fois par ce que les entreprises savent des risques de cyberattaque et par ce qu’elles ne comprennent pas encore.

Les compagnies d’assurance qui exploitent les informations sur les cyberattaques et d’autres risques pour mieux comprendre l’écosystème cloud peuvent se positionner en tant qu’experts en matière de cloud et de protection des données. Cela leur permet de renforcer leur relation avec les clients en servant à la fois de source d’information et de solution à la problématique du risque cyber.

Images par : sashkin7/©123RF.com, foodandmore/©123RF.com, dotshock/©123RF.com