L’un des principaux défis de la supply chain reste la transparence nécessaire à l’analyse des risques, estime Jérôme Chartrain, souscripteur cyber chez AGCS. Car, au-delà de la présentation des certificats adéquats [ISO 27000, 27001 et 27002, NDLR], cela nécessite, pour une entreprise, de laisser entrer un donneur d’ordre pour analyser les ressources IT et la sécurité informatique. Ce n’est pas forcément évident. » Le rapport du Club des juristes 2018 sur l’assurance du risque cyber pointe aussi l’asymétrie d’information qui existe actuellement entre assureurs et assurés. Les données en question qui « concernent le cœur de l’activité et de la valeur (projets en cours, brevets, etc.), sont particulièrement stratégiques et confidentielles, précise le rapport. Les entreprises sont parfois réticentes à partager des informations relatives au niveau de résilience de leurs systèmes d’information, y compris les systèmes opérationnels, et notamment les conclusions de leurs tests d’attaques « à blanc » pour celles qui se soumettent à ce type d’exercice. » Cette asymétrie peut empêcher le calcul d’une prime d’assurance adaptée aux spécificités du profil de l’assuré et, de fait, les primes appliquées en assurance cyber restent encore très homogènes même si l’état des marchés dressé par Gras Savoye Willis Towers Watson en septembre signale que « les assureurs n’hésitent pas à être agressifs en termes de prix lorsque les entreprises arrivent à démontrer un niveau de sécurité informatique élevé ».