La « Cybersecurity Fortification Initiative » aura-t-elle un impact sur le développement de la Cyber-assurance en Asie ?

La « Cybersecurity Fortification Initiative » émanant de l’Autorité Monétaire de Hong Kong aura-t-elle un impact sur le développement de la Cyber-assurance en Asie ?

L’Autorité Monétaire de Hong Kong (HKMA) a annoncé le 18 mai 2016 la mise en œuvre d’un programme destiné à renforcer la cyber-sécurité dans le secteur bancaire : la « Cybersecurity Fortification Initiative».  Il s’articule autour de trois grands axes :

  • Cyber Resilience Assessment Framework (C-RAF) : une méthodologie d’évaluation et d’audit permettant aux institutions financières de mesurer leurs profils de risques. Cette dernière devant intégrer des simulations d’attaques informatiques.
  • Professional Development Programme : un programme de formation afin d’accroître le nombre de professionnels qualifiés et combler la pénurie de compétences disponibles dans la région.
  • Cyber Intelligence Sharing Platform : la mise en place d’une plate-forme commune permettant au secteur bancaire de partager des informations sur les dernières menaces.

La période de consultation de trois mois s’achève et la version finale de la méthodologie sera bientôt publiée. Le projet initial indique qu’une couverture d’assurance cyber sera nécessaire pour obtenir un niveau « avancé » pour certains axes d’évaluation : gestion des risques, procédure d’escalade et communication de crise …

Cependant, bien qu’il soit mentionné, le recours au transfert de risques ne semble pas être la première priorité du régulateur. En effet, la HKMA se focalise en priorité sur le renforcement des mesures de protection et de prévention au sein même des banques afin d’éviter, ou tout du moins limiter, les conséquences dommageables d’une cyber-attaque.

Néanmoins, le recours à l’assurance ainsi que les services additionnels offerts par les souscripteurs ou les courtiers (audit, formation, aide à la gestion de crise…) aideront les institutions financières à mettre en œuvre les exigences fondamentales du régulateur : identification, quantification et mitigation des risques, procédure de réponse à incident, programme de sensibilisation auprès des employés (en particulier sur le phishing  ou l’ingénierie sociale…)

Cette initiative ne sera donc pas, à priori, l’élément déclencheur tant attendu par le secteur permettant de faire exploser le marché de la cyber-assurance. Toutefois, cette initiative couplée à celles d’autres régulateurs régionaux, illustre les efforts continus et croissants des différents pays asiatiques pour renforcer leur cyber-sécurité.

CLIQUER ICI POUR REVENIR A LA NEWSLETTER

Timothée GRANGE
Expert / Directeur Asie-Pacifique – Groupe GM Consultant