Accueil Les menaces font progresser la cyberassurance

Les menaces font progresser la cyberassurance

Le marché de la cyberassurance continue de se développer, alors que les sinistres augmentent et que la maturité en termes de cybersécurité tarde à s’installer, surtout parmi les PME. Le segment des grandes entreprises, en revanche, se tend.

 

Christophe Madec

Les cyberattaques visant Altran, Fleury Michon, Airbus en 2019 ou contre Bouygues Construction en 2020 ont défrayé la chronique. Pourtant, le marché français de la cyberassurance reste très réduit par rapport au marché américain (80 millions d’euros contre 1,84 milliard d’euros de primes en 2018). Le marché français est encore jeune, puisqu’il a une dizaine d’années. Les acteurs majeurs du marché ont pour noms Chubb, AIG, Zurich, Beazley, Axa XL. D’autres assureurs sont présents, comme Allianz France et Allianz Global Corporate & Specialty (AGCS), ou Hiscox. Le marché est en forte croissance, puisque les primes sont estimées à environ 100 millions d’euros en 2019. « Ce marché très jeune manque encore d’homogénéité sur les garanties, les conditions d’assurance des polices, ainsi que les primes, car l’historique reste limité, commente Christophe Madec, directeur de clientèle et expert cyber de Bessé, conseil et courtier en assurances. Par rapport au risque, les primes restent très peu chères. Comparées à la probabilité du risque incendie, elles sont dix à vingt fois moins chères. » Yves Fournier, directeur de clientèle et spécialiste du risque cyber chez Verspieren, ajoute : « Le Règlement Général sur la Protection des Données (RGPD) a beaucoup joué dans la sensibilisation des entreprises B2C aux cyber-risques, du fait de l’obligation de notification en cas de violation de données et des possibles sanctions financières. Avec l’augmentation de la fréquence des sinistres, les franchises en cyber sont élevées. »

 

David Dubois, président de l’Institut des actuaires, qui possède un groupe de travail sur la cyberassurance, analyse : « il y a un problème de mesure du risque et de robustesse du modèle de tarification, alors même que les systèmes d’informations sont plus complexes et ouverts et les attaques sont plus fréquentes et virulentes. Aussi les assureurs cherchent à isoler le risque cyber dans les polices de cyberassurance. Mais ce marché est peu profond, avec des capacités limitées. Il faudrait développer la profondeur du marché. Autre question, le risque cyber est-il vraiment aléatoire et donc assurable ? Le risque cyber mute en fonction des évolutions technologiques et géopolitiques. Les chercheurs en actuariat travaillent sur de nouveaux modèles. Le marché a besoin de modèles apprenants et prédictifs qui prennent en compte les signaux faibles. »

Ce marché est à deux vitesses. Deux segments de marché coexistent, avec des attentes et des besoins distincts : les grands comptes et ETI d’une part, les PME et TPE de l’autre.

Tensions sur les grandes entreprises

© Direction RH Marsh
Lari Lehtonen

Le taux d’assurance des grands groupes est de l’ordre de 60 %. Le marché des grandes entreprises est très tendu car la sinistralité a augmenté, provoquant une certaine frilosité de la part des assureurs. Ainsi, en 2019, les attaques par ransomware sophistiquées, touchant les grandes entreprises mais aussi les ETI, ont fortement progressé. Lari Lehtonen est responsable d’équipe cyber-risques du courtier Marsh. Ce dernier, en 2019, tous segments confondus, a placé près de 50 millions d’euros de primes et réalisé une déclaration de sinistre par semaine en moyenne. Il explique : « Avec les renouvellements de contrat au 1er janvier 2020, nous avons constaté des tensions sur le marché français des sociétés qui font plus de 1 milliard d’euros de chiffre d’affaires. Les assureurs sont plus attentifs quant aux capacités mises sur un risque. Auparavant, un assureur pouvait mettre jusqu’à 25 M€ sur une entreprise, aujourd’hui c’est plutôt 10 à 15 M€. »

Yves Fournier

Une certaine régularité s’installe en termes de sinistralité. En 2019, plusieurs sinistres de un à cinq millions d’euros ont eu lieu, certains sinistres ont même dépassé vingt millions d’euros. Cette multiplication commence à impacter le portefeuille des assureurs, même s’ils restent rentables. Les primes commencent à remonter, d’environ 5 à 10% selon les secteurs d’activité, après quatre à cinq ans où elles avaient tendance à diminuer, du fait de nouveaux entrants qui entretenaient la compétition sur le marché. Yves Fournier précise : L’enjeu des grandes entreprises est de trouver une couverture suffisante, d’autant qu’elles cherchent à augmenter leur couverture alors que les assureurs souhaitent limiter leur capacité. Par exemple, pour couvrir un risque de 50 M€, il faut superposer plusieurs lignes d’assurance, ce qui est plus complexe. Et même quand un assureur couvre intégralement un risque de 10 millions d’euros il y a des sous-limites par type de garantie. »

Croissance du marché chez les PME et ETI

Du côté des PME, la croissance est significative sur un marché encore peu mature. Il n’y a pas de problème de capacité. « Pour les assureurs, le marché des PME est techniquement le moins tendu, souligne Marc-Eric Bellot, responsable du domaine cyber chez Allianz France, qui assure les PME. Après deux bonnes années, la croissance de ce segment de marché s’est tassée en 2019, mais nous prévoyons un redressement cette année. »

Sur les PME et TPE françaises, le taux d’équipement en produit de cyberassurance reste faible, estimé à 10 % environ. Or, elles sont vulnérables car elles ne peuvent engager les mêmes moyens de protection que leurs grandes sœurs, Les professionnels et les PME sont relativement à l’abri des attaques sophistiquées, qui demandent aux hackers des investissements importants qui seraient mal rentabilisés. En revanche, ils sont la cible d’attaques moins perfectionnées. 47 % des petites entreprises, selon le rapport Hiscox sur la gestion des cyber-risques 2019 auprès de 2 000 sociétés de moins de 50 salariés ont signalé au moins un cyber-incident dans l’année. Le coût moyen des cyber-incidents s’élève à 14 000 euros, avec un triplement du pire incident déclaré, passé à 9 000 euros.

Maillons faibles

La vulnérabilité de l’entreprise passe aussi par l’écosystème, composé de filiales, sociétés acquises, partenaires, clients et fournisseurs. Par exemple, à chaque société acquise correspond un temps de forte vulnérabilité, tant que l’intégration IT n’est pas finalisée. On se souvient de Marriott qui a acheté la chaîne hôtelière Starwood, par qui l’attaque est arrivée. « Le risque cyber et la sécurité informatique changent aussi de dimension et deviennent plus que jamais l’affaire de tous, puisque nous avons constaté dans notre portefeuille plusieurs attaques par rebond du fait de l’interconnexion des systèmes d’information des partenaires commerciaux, » fait remarquer Lari Lehtonen.

© Hiscox France
Astrid Marie Pirson

L’autre maillon faible qu’exploitent les hackers, ce sont les hommes et les femmes, qui peuvent également être à l’origine d’un cyberincident par négligence. Astrid-Marie Pirson, directrice technique de la souscription, chez Hiscox France, reconnaît : « Il y a une grande part d’erreur humaine et un fort risque accidentel. Le maillon faible est entre le clavier et la chaise. L’hygiène numérique nécessite de former des employés. Et quand une entreprise est mature et a ses trois piliers technologique, humain et financier (estimer la couverture et la franchise à leur juste niveau), les conditions d’assurance sont moins chères. » Hiscox propose un cybercalculateur d’exposition au risque ainsi que des modules en ligne de formation à la sécurité des systèmes d’information baptisé CyberClear Academy.

Laurence Lemerle, directrice risques techniques et cyber chez Axa France, ajoute : « En tant qu’assureur nous devons participer à l’amélioration de la maturité (prise de conscience des décideurs et aide à la quantification des pertes financières suite à une cyberattaque réussie) en promouvant la complémentarité du triptyque prévention – protection – assurance comme essentiel à la cyber-résilience des entreprises. »

Panorama des risques couverts par type de contrat d’assurance
Source : Axa

Des garanties larges

Les garanties cyber n’ont jamais été aussi larges qu’aujourd’hui, couvrant les risques immatériels, à savoir les événements malveillants et accidentels impactant le SI. Les natures des garanties se sont homogénéisées et deviennent relativement similaires chez les principaux assureurs cyber. Pourtant, « les couvertures semblent peu claires aux RSSI et DSI, met en exergue Christophe Madec de Bessé. Aussi proposons-nous un contrat type dans un langage clair qui homogénéise les conditions d’assurance. » Marsh propose aussi « un texte d’assurance cyber, qui se veut simple et efficace et qui évolue chaque année, fait remarquer Lari Lehtonen. Nous travaillons également avec nos clients sur les scénarios de risque les plus importants pour nous assurer que les préoccupations de nos clients soient le plus efficacement couvertes. »

Les contrats cyber présentent deux atouts incontournables : l’indemnisation des frais et pertes d’exploitation, et l’assistance. Cette dernière, en cas de crise, dès le blocage ou la suspicion d’une violation de données, doit permettre une résolution efficace dans les meilleurs délais, l’assureur jouant le rôle d’intermédiaire avec les spécialistes (IT, juridique, média…). Les assureurs ont renforcé le nombre et la qualité des prestataires d’assistance, qui aident à faire face à l’attaque et à reconstruire le système d’information. Ce développement des garanties d’assistance dès la première heure de la crise est vertueux pour l’assureur, puisqu’il va permettre de limiter les dégâts et donc les pertes à couvrir.

En matière d’indemnisation, l’assuré doit démontrer à l’assureur qu’il a subi un préjudice réel et surtout chiffrable. Les frais relatifs à la gestion de crise, comme des frais de communication, de réhabilitation d’image, ainsi que les frais de nettoyage des données et de reconstitution des SI sont en général couverts. Les frais de notification en cas de fuite de données et l’accompagnement juridique, notamment en cas de mise en cause par des partenaires ou clients dont les données ont été violées, sont aussi généralement pris en charge. Toutefois, la question de l’indemnisation par l’assureur en cas de sanction administrative de la CNIL n’est pas tranchée, certains la considérant comme une amende non indemnisable.

Les frais engagés auprès d’intermédiaires chargés de tenter de décrypter le code d’un ransomware, de négocier la somme de la rançon, ou de chercher des informations sur le marché noir, peuvent être pris en charge.

Risque systémique

Marc-Eric Bellot

Une option peut venir couvrir la fraude, surtout pour les PME, les grandes entreprises préférant souscrire à deux contrats distincts, car la sous-limite d’indemnisation relative à la fraude reste relativement basse. Marc-Eric Bellot donne l’exemple d’Allianz France : « Nous proposont une offre packagée avec trois garanties principales (frais engagés pour la remédiation, pertes d’exploitation, responsabilité civile cyber). Le tarif est en fonction du chiffre d’affaires et du montant du capital couvert demandé. Nous nous distinguons par notre service de remédiation en cas d’attaque détectée. Le client appelle notre prestataire Guardea Cyberdefense, qui coordonne un réseau de plus de deux cents prestataires locaux pour une intervention la plus rapide possible. »

Le risque systémique est important, par exemple lors de la diffusion d’un ver, virus, ransomware, comme Wannacry en 2017, qui peut toucher un grand nombre d’assurés. Les actuaires doivent modéliser le cumul de risques, un exercice difficile. Chaque assureur cherche à éviter la propagation du risque vers beaucoup de ses assurés. « Nous gérons notre exposition systémique en évaluant différents scénarios catastrophe, indique Astrid-Marie Pirson. L’un d’eux est l’attaque d’un grand prestataire informatique qui travaille avec de nombreuses entreprises assurées chez nous. »

Pour une question d’exposition au risque, les assureurs montrent également aujourd’hui plus de prudence quant aux couvertures silencieuses dans les polices de responsabilité civile (RC) et d’assurances dommages entreprise, qui couvrent des montants beaucoup plus importants. Les exclusions se font plus strictes et explicites sur le risque cyber dans les polices dommages et RC entre autres pour limiter l’impact du risque cyber. Toutefois, les dommages matériels restent couverts par les contrats d’assurances dommages traditionnels.

Ainsi, la cyberassurance sert à protéger l’entreprise, petite ou grande, contre les risques résiduels.