Le temps, c’est de l’argent ! La maxime est d’autant plus vraie sur internet que la moindre indisponibilité a un impact direct sur le CA d’un site marchand, la qualité de la relation donneur d’ordres/fournisseurs dans le cadre d’applications B to B, ou même sur l’image de marque de l’entreprise dont le site institutionnel répondrait trop longtemps un “HTTP 404 : not found”…Conscients de ces nouveaux risques, les assureurs apportent leurs solutions pour y faire face. Outre les traditionnelles polices Responsabilité civile et dommages aux biens, ceux-ci ont cherché à couvrir des valeurs beaucoup plus complexes à évaluer : les biens immatériels de l’entreprise.
Échec auprès des start-up
Ainsi, en plein gonflement de la bulle internet, on a vu fleurir de nouvelles offres : protection contre les pannes, la destruction des données, les erreurs de gestion, la fraude, mais aussi des produits d’assurances les plus novateurs, comme par exemple la garantie “homme clé” très prisée des capital-risqueurs, des protections contre la perte d’image à la suite d’un piratage ou d’une panne, le comble étant atteint lorsque certains ont proposé de se prémunir contre une chute des cours…La cible initiale, les pure players internet, s’est montrée dans un premier temps peu réceptive à ce type d’offre. Thibault Vignes, cofondateur de vos-commerces.fr, traduit le sentiment de défiance des “aventuriers” du net vis-à-vis des assurances :“Nous bénéficions bien sûr d’une assurance pour notre matériel informatique, pour les licences de nos logiciels. De même, si une sauvegarde de données était perdue, nous serions indemnisés. Mais nous n’avons pas songé à souscrire une assurance pour l’immatériel, comme l’insatisfaction du client, par exemple. Nous n’assurons pas nous-même la logistique, le transport [Ndlr : vos-commerces.fr représente une vitrine web pour des commerçants qui réalisent eux-mêmes les envois]. Nous sommes des intermédiaires dans la transaction entre le commerçant et l’internaute. En cas de litige, d’insatisfaction du client vis-à-vis de la qualité des produits, nous mettons en contact internautes et commerçants”.Les paiements réalisés sur vos-commerces.fr sont traités par Atos/Origin via son service SIPS. C’est donc ce prestataire qui recueille les coordonnées bancaires et qui supporte le risque. De son côté, vos-commerce.fr fonctionne avec des clients qui lui sont très fidèles. Les nouveaux arrivants sont “validés” au moyen d’un appel téléphonique avant livraison. Ainsi, le site n’a pas eu à déplorer de fraude depuis sa création, en 2000.Alfred Vericel, fondateur du site bes tofmicro.com, abonde en ce sens :“Je reste circonspect sur les nouvelles assurances concernant la disponibilité des infrastructures techniques. C’est davantage la négociation commerciale que l’assurance qui doit prendre en charge ce type de problème. Savoir négocier ses contrats, les verrouiller, correspond plus à mon état d’esprit que de vouloir tout garantir par des assurances. Par contre, l’assurance a su se montrer indispensable au niveau du paiement en ligne. Se faire dérober son numéro de carte bancaire sur le web est techniquement possible. Mais, dans la pratique, cela reste rare.
Par contre, l’utilisation frauduleuse de numéro de carte est un grave problème pour les commerçants. Recevoir, 3 semaines après l’expédition de la commande, un “retour carte bancaire” est un vrai problème que tous les sites d’e-commerce connaissent. Nous avons monté un partenariat avec FIA-net car ces types de solutions nous semblent aujourd’hui impératives.”
FIA-net, un vrai succès contre les impayés
En effet, avant même de songer à assurer leurs biens immatériels, les commerçants sur le web se sont rapidement heurtés à la problématique de la fraude. Comme les banques ne leur garantissent pas les achats réglés par carte, non seulement le commerçant se voit débité après coup du montant de l’achat, mais celui-ci a déjà livré la marchandise au fraudeur. C’est incontestablement FIA-net qui a répondu le mieux, dès 1999, à l’attente des commerçants français, en leur proposant de fédérer leurs risques d’impayés. Là où les grands assureurs français n’ont pas osé aller, la star-up dit réunir plus de 1 000 commerçants français, soit les trois-quarts des transactions du web français.“Au départ, nous avons apporté aux marchands une garantie qui était constituée à 100 % d’assurances. Le commerçant était remboursé en cas de fraude sur un numéro de carte bancaire. En imposant des mesures de bon sens comme l’établissement d’un bon de livraison, on parvenait à décourager bon nombre de fraudeurs. Aujourd’hui, on s’est aperçu que le montant de la fraude auquel nous devons faire face est passé de 260 kE en 2000 à 1,37 ME en 2001. Il a été multiplié par 5 là où le commerce électronique était multiplié par 2. La position n’était pas tenable pour nous, ni surtout pour les commerçants, car tôt ou tard l’assurance aurait disparu et les commerçants en auraient finalement souffert, et pas l’assureur. Il faut bien comprendre que notre but n’était pas de payer moins de sinistres, mais bien de permettre aux sites de continuer à bénéficier d’une garantie de paiement viable, sans qu’elle leur coûte trop cher”, explique David Botvinik, directeur général de FIA-Net.Aujourd’hui, la société, dont l’actionnaire principal est Axa IM, mise sur la carte technologique pour détecter les fraudeurs : “L’assurance ne suffit pas. Nous avons mis en place un système d’identification des internautes qui mutualise les informations qui leur sont relatives entre les commerçants. Une note est attribuée à l’internaute en fonction de son passé : multiples changements d’adresse, de numéro de carte, etc. Si la note est positive, nous couvrons le risque, sinon c’est au commerçant de l’assumer”.À ce jour, FIA-Net dit avoir 250 clients pour ce nouveau service baptisé SAC (Système d’analyse des commandes), le but n’étant pas d’abandonner l’assurance seule, mais de la maintenir pérenne en dépit de l’explosion du risque de fraudes pour les commerçants.
L’assurance des serveurs bien maîtrisée
Assurer le matériel informatique est un domaine aujourd’hui bien connu et maîtrisé par les assureurs. Des contrats types ont été mis au point pour couvrir les risques liés aux incendies, inondations, vols qui pourraient frapper vos serveurs. Si ce type de contrat est généralement sans surprise, attention toutefois à la décote rapide des équipements perdus.Outre de multiples franchises, des coefficients de vétusté ultrarapides, ces contrats prennent en compte le calcul de la valeur du matériel non pas sur son niveau d’achat, mais sur sa valeur de remplacement. La succession des gammes de serveurs aux catalogues des constructeurs informatiques fait donc perdre beaucoup de valeur à votre investissement initial.
Comment établir les responsabilités ?
Plus complexe à mettre en place, l’assurance des biens immatériels. Ainsi, il peut paraître simple et légitime de vouloir se prémunir contre une perte d’exploitation due, par exemple, à l’indisponibilité temporaire de son site. Se pose alors la question de l’imputation du problème technique : est-ce l’un de vos employés qui, par suite d’une maladresse, a bloqué le site, votre web agency qui a mené une mise à jour du site un peu hasardeuse, ou encore votre hébergeur…La chaîne de responsabilités peut devenir extrêmement complexe pour peu qu’on y ajoute opérateurs de télécommunication, éditeurs de SGBD, serveurs d’application et autres briques qui entrent dans le fonctionnement du site. Cette problématique se retrouve aussi en matière de sécurité informatique, un domaine où il faut aussi juger de la réactivité des acteurs (sociétés de service, éditeurs de solutions de sécurité) pour pallier une faille qui serait détectée.Thibault Vignes justifie son choix de faire l’impasse sur de telles assurances.“Tous nos serveurs sont gérés par GHS, notre web agency, et sont placés chez ISDNet (Cable & Wireless). Nous avons déjà connu une rupture de service à un mauvais moment, mais nous n’avons pas réclamé d’indemnités. Les hébergeurs sont soumis à une obligation de moyens mais pas de résultat. Nous ne sommes pas un site à très fort volume d’activité, et il n’est pas nécessaire pour nous de nous assurer contre ce type de risque”.
Pas seulement une obligation de moyens
D’un point de vue juridique, les obligations des prestataires dépassent cette simple obligation de moyens. C’est le célèbre arrêté “Chronopost” qui a vu La Poste condamnée pour n’avoir pu livrer à temps le dossier de candidature d’un cabinet d’architectes lors d’un concours, en dépit de la défense de l’opérateur postal mettant en avant les moyens mis en ?”uvre pour acheminer le colis à Wallis et Futuna, le lieu du concours. Devant cette problématique, les opérateurs ont cherché à inscrire noir sur blanc dans leurs contrats leurs engagements, à l’image de KPNQwest, qui a ajouté à toutes ses offres d’hébergement de SLA (Service Level Agreement) très précise assorties de pénalités en cas de non respect.Selon la gamme de serveurs, l’opérateur va s’engager sur une disponibilité de 99,5 ou 99,9 % pour la machine, les performances du réseau sont garanties sur les délais de réponse, inférieurs à 90 millisecondes sur l’Europe et inférieurs à 80 millisecondes vers les États-Unis. Ces derniers engagements ne portent pas sur internet, mais uniquement jusqu’à la bordure du réseau géré par KPNQwest. C’est, avec la qualité de service des applications elles-mêmes, le principal défaut de ce type de contrat, qui ne couvre finalement qu’une part de la chaîne de responsabilité.
Une phase d’audit nécessaire
Chargé de couvrir le fonctionnement global du site, l’assureur doit avant toute chose auditer le site dans le détail. Niveau de sécurisation de l’infrastructure, évaluation des performances, cette phase est un préalable nécessaire pour l’établissement d’une police précise.Dans le domaine de la sécurité, les grandes SSII spécialisées vont donc être appelées pour répertorier les failles de sécurité qui affectent le site en question, évaluer les procédures internes et en définitive attribuer une note à la sécurité du site. En terme d’efficacité, là encore, il faut mettre à plat le fonctionnement du site pour identifier les responsabilités de chacun, les performances en deçà desquelles le responsable d’exploitation peut faire appel à son assureur.Reste encore, d’une part, à identifier sans contestation les incidents et à les attribuer de manière certaine. Plusieurs systèmes de mesure de performances de sites web sont ainsi apparus sur le marché : Keynote, Witbe ou encore IP-Label, se proposent ainsi de tester, à une fréquence donnée, la disponibilité et les temps de réponse des sites web. IP-Label travaille notamment pour le compte de Marsh, dont la méthodologie est aujourd’hui l’une des mieux formalisées sur le marché français.
Un marché sinistré après le 11 septembre
Outre un marché rendu beaucoup plus difficile par l’éclatement de la bulle internet, les événements du 11 septembre puis l’explosion de l’usine AZF de Toulouse, certains assureurs ont décidé de se retirer du marché des risques liés à internet, alors que certains éditeurs de solutions de sécurité faisaient planer le risque d’un virus mondial menaçant les fondements même de l’économie de marché. Les assureurs ont jugé trop grande l’incertitude pesant sur ce nouveau marché et ont décidé, soit de relever le niveau de leurs primes de manière drastique, soit de se retirer tout simplement.Pourtant, les sites n’ont sans doute jamais été aussi bien protégés : coupe-feu, détection d’intrusions et antivirus se sont généralisés. De plus, les projets internet revêtent de plus en plus un caractère stratégique pour les entreprises. C’est notamment le cas dans le cadre de projets de type Supply Chain Management, où la qualité de service offerte par chaque maillon de la chaîne conditionne l’efficacité globale de l’ensemble.Le marché des start-up évanoui, seuls les professionnels du web (hébergeurs, opérateurs) et quelques grandes entreprises, déjà habituées à assurer leurs activités informatiques, sont prêtes à franchir le pas. Les banques en ligne représentent, à court terme, le secteur le plus propice en attendant la reprise…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.