80% des entreprises de l’UE ont déjà été touchées au moins une fois par une attaque cyber depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux ou de déstabilisations. Le coût des cyber -attaques est estimé entre 445 milliards et 608 milliards de dollars pour la seule année 2017.
Comme pour beaucoup de risques, c’est lorsque les entreprises y sont confrontées qu’elles développent une culture de la gestion des risques. Les entreprises européennes négligent encore de s’assurer contre ce risque rapporte la dernière étude du Lloyd’s, le grand marché mondial de l’assurance spécialisée et de la réassurance. Les conséquences financières directes d’une cyber-attaque informatique pour une entreprise, englobent diverses dépenses : enquêtes & coûts techniques, honoraires des avocats, pertes d’exploitations liées à l’arrêt d’activité et mais aussi des conséquences indirectes pas encore quantifiables, celles liées à la perte de confiance de leurs clients.
Les entreprises de toutes tailles sont vulnérables au risque cyber
Au-delà de la résonance médiatique provoquée par les grandes cyber-attaques, l’enjeu est donc d’éduquer toutes les entreprises à ces menaces aux conséquences parfois dramatiques.
« Les entreprises de toutes tailles sont vulnérables au risque cyber« ,
expliquait récemment John Coletti, directeur de la souscription, Cyber & Technologie, chez AXA XL aux États-Unis. AXA XL vient récemment de lancer une couverture d’assurance cyber auprès des PME américaines ainsi qu’un dispositif d’informations en temps réel pour se protéger contre les risques cyber de manière proactive. » En proposant une solution reposant sur l’intelligence artificielle, nous élargissons notre portée sur ce marché et permettons aux PME d’avoir accès à une meilleure protection, similaire à celle dont bénéficient les plus grandes entreprises, ainsi qu’à des ressources pour les aider à protéger leurs revenus, leur rentabilité et leurs relations avec leurs clients« .
Cyber-assurance, un démarrage timide en France
Les analystes prévoient une croissance très forte de la cyber-assurance au niveau mondial sur les dix prochaines années. D’environ 4 milliards de dollars aujourd’hui, le volume de primes pourrait dépasser les 20 milliards en 2025. « Lorsqu’il s’agit de cyber-assurance, les niveaux d’engagement varient selon les endroits du globe. Par exemple, le marché de l’assurance en cyber-sécurité est beaucoup plus mature aux Etats-Unis notamment en raison du fait que 46 des 50 états américains ont des exigences réglementaires concernant la violation des données », explique le Lloyd’s dans son rapport.
En France, le marché de la cyber-assurance a démarré timidement il y a quelques années et les sinistres déclarés ne sont vraiment constatés que depuis trois/quatre ans. Dans les contrats, tous les mots comptent, en particulier ceux qui n’y sont pas. Ainsi aujourd’hui des questions se posent : les couvertures actuelles en portefeuille mesurent-t-elles la nature exacte des engagements financiers ? L’absence de certaines exclusions peut-elle conduire à devoir indemniser massivement certains sinistres ? Le libellé des contrats est-il conforme aux risques ? Le risque de devoir gérer des contentieux et des incertitudes n’est-il pas très, voire trop, élevé ? Et pour finir, quand le risque cyber aura-t-il une base solide pour affiner sa tarification ?
Les assureurs et les réassureurs avancent donc avec prudence, face à un risque relativement nouveau et en pleine évolution. Ils manquent encore de données, faute notamment d’un historique de sinistres et d’incidents assez fourni et l’incertitude autour des coûts directs et indirects engendrés par le risque cyber ne donne pas une base solide pour tarifer facilement et sans risque les couvertures cyber. Les polices ayant été rédigées sans expérience sinistres préalable, la compréhension du périmètre qu’on veut couvrir et l’adéquation des mots utilisés à la réalité des risques ne sont donc pas acquises. De plus, les modèles de segmentation des clients sont encore très embryonnaires. Cela rend donc presque impossible un risque à mesurer, voire à identifier dès la souscription. Ce contexte est propice au développement de la réassurance à la fois pour offrir des capacités et pour apporter une expertise au marché, les réassureurs s’y préparent en faisant face aux mêmes incertitudes.
Cyber-assurance : de nouvelles opportunités pour les assureurs
La cyber-assurance doit probablement être conditionnée à un investissement des clients dans la cyber-sécurité, et l’assureur doit avoir un rôle dans la diffusion de bonnes pratiques en la matière. Au-delà de couvrir les pertes, les assureurs doivent s’engager sur : l’ingénierie de la prévention, l’expertise informatique, le rôle de conseil pour l’amélioration de la cyber-sécurité de ses clients, et la gestion de crise, en clair, de la prévention, du conseil, de l’indemnisation et de l’accompagnement. Sommes toutes, un schéma traditionnel de la chaîne de valeur du secteur de l’assurance.
Une question se pose : quand les professionnels de l’Assurance pourront-ils mieux maîtriser les conséquences de ces menaces protéiformes ? AXA a probablement un début de réponse et va se servir des notations fournies par SecurityScorecard, une start-up américaine qui analyse et note la cyber-sécurité des entreprises, pour déterminer l’assurabilité du risque et ainsi mieux évaluer les tarifs des contrats de cyber assurance.
Au-delà de favoriser la cyber-résilience des entreprises clientes, d’adapter leurs contrats et leurs services, les assureurs ne doivent-ils pas s’engager dans la coopération avec d’autres acteurs, voir s’adosser à des industriels ? Une première réponse dans ce domaine est le partenariat entre Aon, Allianz, Cisco et Apple. Cette entente vise à offrir une solution dédiée de cyber-sécurité / cyber-assurance. Les solutions matérielles Cisco et Apple ayant été sélectionnées comme étant particulièrement sûres, et permettent ainsi de proposer des primes plus attractives.