Stratégie

Cyber assurance : le marché s'adapte à la hausse des menaces

Retrouvez cet article dans le CIO FOCUS n°172 !

Les cyber-assurances, un outil au service de la résilience des organisations

Apparues il y a une quinzaine d’années, les cyber-assurances étaient jusqu’à présent souscrites majoritairement par les très grandes entreprises. Avec la hausse des cyber-attaques, l’outil commence lentement à se démocratiser, et intéresse aussi bien les RSSI que les Risk...

Découvrir

---

Outil complémentaire des politiques de cybersécurité, la cyber-assurance commence à être connue plus largement. Néanmoins, ce marché encore émergent est amené à évoluer face à la diversité des besoins et des menaces.

PublicitéSelon la neuvième édition de l'enquête annuelle sur le coût du cybercrime, réalisée par Accenture Security et le Ponemon Institute, le nombre de failles de sécurité s'est accrue de 67% entre 2013 et 2018. Dans ce contexte, le risque pour une organisation de subir une attaque informatique a fortement augmenté. Une autre enquête, menée entre avril et juin 2019 par le réseau d'audit, de conseil et d'expertise comptable RSM dans 33 pays européens, révèle que 39 % des 597 grandes entreprises interrogées ont été victimes d'une cyber-attaque, même si dans 75 % des cas, celle-ci n'a pas été rendue publique. Un constat confirmé par Lari Lehtonen, responsable de l'équipe cyber risques chez le courtier Marsh : « sur les six premiers mois de 2019, nous avons observé le même nombre de cyberattaques que sur tout 2018. Le volume des attaques s'accroît. »

Dans les 355 organisations interrogées pour l'étude Accenture, le coût moyen des cyberattaques a connu une hausse de 72% en cinq ans. En 2018, ce coût moyen a atteint 8,8 millions d'euros en France, une hausse de 23% par rapport à 2017. Selon l'étude, ces coûts se répartissent dans quatre grandes catégories : les interruptions d'activité, les pertes d'information, les pertes de revenus et les dommages aux équipements. Malgré ces chiffres, les organisations peinent à faire de la cybersécurité une priorité. Si 65% des répondants de l'étude RSM sont convaincus que la cybersécurité est un enjeu qui concerne directement la direction, le sujet n'est abordé en conseil d'administration que dans 54% des cas. La plupart du temps, la sécurité informatique ne devient une priorité qu'une fois que l'entreprise a subi une cyber-attaque (59% des cas).

Réduire l'impact des cyber-sinistres

Dans ce contexte, les assurances cyber peuvent s'avérer un complément utile aux politiques de sécurité, permettant de diminuer l'impact des incidents quand ceux-ci surviennent. « Il y a deux grands types d'événements déclencheurs pris en compte dans les contrats de cyber-assurance : la malveillance informatique est à l'origine de 80% des sinistres déclarés. Les autres événements (erreurs humaines, bugs, pannes, fuites accidentelles de données) représentent les 20% restants », estime Jean Bayon de la Tour, responsable Cyber pour l'Europe chez Marsh. « Dans la plupart des sinistres, il s'agit simplement de couvrir les frais de prise en charge technique et juridique nécessaires pour la remise en route de l'activité », explique Timothée Crespe, Senior Broker et Cyber Leader chez Aon France. « En moyenne, ces interventions représentent des montants de quelques dizaines de milliers d'euros. Dans certains cas, plus rares, les assureurs peuvent verser des indemnités qui grimpent au-delà du million d'euros, voire davantage. »

PublicitéSelon l'ABI (association des assureurs britanniques), sur 207 cyber-sinistres déclarés en 2018, 99% ont bénéficié d'une indemnisation. Un chiffre à nuancer, car l'ABI indique également que seules 11% des entreprises du Royaume-Uni ont mis en place ce type de contrat. En France aussi, la maturité des entreprises en matière de cyber assurance est assez faible. Selon le courtier Marsh, près de 90% des entreprises du CAC40 ont souscrit une cyber assurance, le reste couvrant ce type de risques sur d'autres contrats. En revanche, la proportion chute dans les entreprises de taille intermédiaire. Marsh estime qu'entre 20 et 25% des ETI sont couvertes. « Dans les PME, le taux d'équipement est encore plus faible, avec seulement 5% d'entreprises qui ont mis en place ce type de contrat », indique Jean Bayon de la Tour.

Un marché en train de gagner en maturité

Néanmoins, une prise de conscience est en train de s'opérer, comme en témoignent les observations des différents acteurs interrogés dans le cadre de ce dossier. « En 2017, la majorité des entreprises victimes de sinistres informatiques en France n'étaient pas couvertes par une cyber-assurance. En 2019, beaucoup d'organisations visées par des cyber-attaques étaient protégées et ont pu être indemnisées. Très clairement, cette garantie a prouvé son utilité, et les entreprises qui ont souscrit de tels contrats sont indemnisées », souligne Jean Bayon de la Tour.


Ezechiel Symenouh (Gras Savoye Willis Towers Watson) : « Aujourd'hui les assureurs revoient leurs engagements, afin de mieux gérer ces derniers. »

« Nous observons actuellement une bonne dynamique de souscription de la part des ETI », indique Ezechiel Symenouh, Cyber Risks Practice Leader chez Gras Savoye Willis Towers Watson. « Auparavant, les processus de décision pouvaient être assez longs, avec des dossiers en attente durant plusieurs années. Depuis deux ans, le marché de l'assurance cyber a atteint un point d'inflexion : les études se réactivent plus rapidement, en particulier quand un grand cas de cyberattaque fait l'actualité. L'époque où les entreprises considéraient les incidents cyber comme la théorie du cygne noir semble révolue. Les directions générales prennent conscience du risque, il arrive même que nous les rencontrions au début du processus. » De son côté, Timothée Crespe note que des entreprises commencent à communiquer ouvertement sur la cyber-assurance dans leur rapport annuel ou lors de la survenance d'incidents cyber, citant par exemple Altran ou Eurofins.

De l'importance de tester ses garanties cyber

Pour Léopold Larios de Piña, Vice-Président Formation de l'AMRAE et Risk Manager chez Mazars, la montée des cyber incidents permet aux entreprises de « tester » leurs garanties cyber, en évaluant dans quelle mesure souscripteurs et assureur ont l'intention de couvrir ces risques, ainsi que la solidité financière de l'assureur et la technicité des équipes d'indemnisation. Globalement, les contrats existants semblent assez bien répondre aux enjeux des clients. La neuvième enquête annuelle Advisen sur la sécurité de l'information et la gestion des cyber-risques, financée par l'assureur Zurich, révèle ainsi que 70% des entreprises ayant souscrit une cyber-assurance sont satisfaites de cette dernière (sur 350 organisations, en majorité basées aux USA). Néanmoins, la même étude fait état de plusieurs entreprises qui n'ont pas été indemnisées car les cyber-sinistres subis étaient en dessous du seuil de franchise de leur contrat. Citons également quelques cas récents d'entreprises victimes du ransomware NotPetya, en litige avec leurs assureurs car ceux-ci refusent de les indemniser (Mondelez, DLA Piper). Par ailleurs, 60% des répondants de l'enquête Advisen/Zurich attendent davantage de clarté dans leurs contrats de cyber-assurance, afin d'éviter les recoupements avec d'autres contrats.

Un marché qui commence à devenir plus sélectif

Du côté des assureurs, le marché s'est bien étoffé. Marsh recense aujourd'hui une cinquantaine d'assureurs qui proposent des contrats de cyber assurance en France. « Au départ, ce marché était surtout porté par les assureurs anglo-saxons, mais tous les grands assureurs français ont aussi aujourd'hui une offre dans ce domaine », souligne Jean Bayon de la Tour. Selon le courtier Gras Savoye Willis Towers Watson, la capacité théorique cumulée du marché français de la cyber assurance s'élève aujourd'hui à environ 600 millions d'euros (500 millions selon l'AMRAE), avec un montant moyen de 25 millions d'euros par assureur. Tous les acteurs rencontrés s'accordent pour dire que cette capacité va se stabiliser, après plusieurs années de hausse. « En réalité, ce ne sont pas forcément ces montants-là qui sont déployés. Le marché de la cyber-assurance commence à être plus sélectif », pointe Ezechiel Symenouh. « Au début, les assureurs cherchaient à constituer leur portefeuille. Les primes étaient assez compétitives, compte tenu d'un faible historique sinistre, avec une volonté des assureurs de développer une branche en masse, en étant souple dans la souscription et en restant toujours dans une logique de mutualisation. Aujourd'hui, il n'y a pas une semaine sans déclaration de cyber-sinistre. Avec cette multiplication des sinistres, les assureurs font davantage attention à leur portefeuille et revoient leurs engagements afin de mieux les gérer. Ils sont plus regardants sur le niveau de sécurité du système d'information des entreprises et sur leur politique de gestion des données. Il arrive que certains assureurs déclinent le risque, s'ils considèrent que le niveau de sécurité informatique est insuffisant », détaille-t-il.

De son côté, l'AMRAE observe également une montée des tarifs et des franchises plus hautes, ainsi que des difficultés à placer les très gros contrats (plus de 100 millions d'euros). Si la capacité du marché suffit à couvrir la demande actuelle, il faut avoir en tête que le niveau d'exposition réel est bien supérieur.

Les assureurs veulent mieux maîtriser leur exposition au cyber-risque

Malgré une sinistralité en augmentation, le marché de la cyber-assurance reste profitable pour les assureurs, « un aspect important pour garantir l'indemnisation des clients », relève Jean Bayon de la Tour. Cependant, les assureurs ont entamé une remise à plat de leurs contrats afin de mieux maîtriser le niveau de risque associé, notamment sous la pression des réassureurs et des autorités de régulation. « De grands assureurs comme AGCS (Allianz) ou AIG sont en train de revoir la couverture des risques cyber dans leurs contrats traditionnels, notamment car le régulateur au Royaume-Uni a demandé de spécifier clairement les risques couverts par chaque contrat. C'est une opportunité pour les assureurs de clarifier leur offre », estime Ezechiel Symenouh.

« L'une des difficultés, c'est que le risque cyber est partout », souligne Astrid-Marie Pirson, directrice de la souscription chez Hiscox France. Pour Léopold Larios de Piña, « l'enjeu pour les assureurs et les réassureurs consiste en la modélisation de leurs potentiels risques de cumul. En effet, si cent clients utilisent un même fournisseur de messagerie sur un même data center, alors en cas d'interruption de service de ce dernier à cause d'une inondation, ou d'attaque par déni de service, les services rendus aux cent clients risquent d'être perturbés en même temps ». Astrid-Marie Pirson confirme que les assureurs travaillent aussi au niveau systémique, autour de scénarios comme un incident chez Microsoft ou Amazon Web Services à l'échelle planétaire, des cyber-incidents à l'échelle d'une ville entière, ou encore des attaques simultanées sur les dix plus grosses entreprises mondiales.

Article rédigé par

Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,

Partager cet article