Longtemps sous-estimé, le cyber-risque est désormais la principale préoccupation des grandes entreprises qui ont mis en place des mesures pour s’en protéger et maîtriser son impact sur leur activité.

En mai et juin 2017, des milliers d’ordinateurs dans près de 150 pays ont été infectés par les ransomwares WannaCry ou NotPetya, des logiciels malveillants qui verrouillent et cryptent les fichiers des utilisateurs et les forcent à payer une rançon pour les récupérer. Renault, les hôpitaux britanniques, FedEx ou encore Saint-Gobain figurent parmi les victimes de ces cyber-attaques de grande ampleur. Difficile cependant de chiffrer les pertes financières subies par ces entreprises, mais elles pourraient atteindre plusieurs millions d’euros. De quoi inciter les dirigeants à souscrire une assurance spécifique afin de réduire les conséquences financières d’une attaque cyber.

L’essor des assurances cyber

Si les grands groupes ont déjà mis en œuvre des mesures concrètes de protection de leurs systèmes d’information, ce n’est pas encore le cas des petites et moyennes entreprises. Dans son rapport datant de 2018 présentant un ensemble de recommandations pour assurer le risque cyber, la commission cyber risk du Club des juristes révèle qu’en France et en Europe, « le marché de l’assurance cyber progresse mais demeure embryonnaire ». L’Europe représenterait actuellement environ 10 % du marché mondial de la cyber-assurance quand les États-Unis captent près de 90 % des primes ! Cela s’explique sans nul doute par le fait que les premières garanties cyber soient apparues outre-Atlantique dès les années 1990. Elles ont néanmoins connu des difficultés à attirer les entreprises qui ne voyaient alors pas encore les dangers d’Internet. Le marché reste cependant toujours restreint, même s’il devient attrayant depuis quelques années maintenant. « En 2008, on comptait à peine une dizaine d’acteurs proposant des contrats cyber en France », indique Laure Zicry, Head of Cyber western Europe de Willis Towers Watson dans les colonnes du magazine de l’Amrae, Atout Risk, au printemps 2019. Désormais, on dénombre une trentaine d’assureurs qui se sont lancés sur ce créneau. En 2018, le marché de l’assurance cyber était estimé à 4 milliards de dollars de primes brutes émises au niveau mondial. Selon le réassureur allemand Munich Re, il devrait atteindre les 20 milliards de dollars d’ici à 2025 ! De son côté, la France fait pâle figure avec ses 80 millions d’euros de primes en 2018.

Les entreprises françaises s’assurent

D’après un sondage Opinion Way publié début 2019 pour le Club des experts de la sécurité de l’information et du numérique (Cesin), 50 % des entreprises interrogées disent avoir souscrit une cyber-assurance en 2018 (contre 25 % en 2016 et 40 % en 2017). Au vu de ces résultats, les assureurs français et européens ont bien compris qu’ils avaient un marché à prendre, longtemps occupé par les acteurs anglo-saxons ou américains du secteur. Ainsi, en France, Matmut, Axa, Groupama et Generali, pour ne citer qu’eux, se sont tous engouffrés dans la brèche et proposent désormais des offres d’assurance cyber à destination des entreprises. Toutefois, si les grands groupes ont bien saisi l’importance de prendre la menace cyber à bras le corps, les ETI et les PME ne se sentent pas encore assez concernées par le sujet, à tort. L’un des rôles de l’assureur est donc de les sensibiliser aux risques technologiques et à leurs conséquences qui peuvent être désastreuses pour elles.

Un marché complexe

La demande d’assurance cyber est en hausse et les enjeux sont grands pour les compagnies d’assurance. Ces dernières n’ont donc pas d’autre choix que de s’adapter aux besoins de leurs clients en proposant des contrats spécifiques. Mais difficile pour les entreprises de comparer les contrats proposés. Ainsi, sept grands assureurs ont accepté de décrypter leur offre cyber pour l’Amrae (Atout Risk n°20 – Printemps 2019), à savoir Allianz CS, AIG, Axa XL, Beazley, Hiscox, QBE et Zurich. L’Association note que « si l’analyse des grilles montre une certaine homogénéité dans les risques couverts, les capacités ainsi que les exclusions et le franchises diffèrent ». Et d’ajouter : « Tous ne proposent par exemple pas le remboursement des rançons que les entreprises verseraient en cas de prise en otage de leurs données. » La couverture peut également inclure la responsabilité civile professionnelle, l’indemnisation pour pertes d’exploitation en cas d’interruption d’activité, les frais de récupération ou de reconstitution des données ou encore les frais de défense en cas de réclamation d’un tiers.

Image

© Rawpixel.com

Les courtiers et assureurs ont par ailleurs développé des services de prévention et d’assistance. « Ces [derniers] font vraiment la différence. Souvent confiés à des prestataires spécialisés, ils sont pertinents autant pour les petites entreprises que pour les grandes, en complément de leurs dispositifs internes » estime Jean Bayon de la Tour, responsable cyber de Marsh Europe, dans les colonnes d’Atout Risk. Cela passe majoritairement par de la formation mais également par la présentation d’outils de cyber-sécurité.

La difficile estimation des coûts

Difficile cependant d’estimer le coût des incidents cyber. Mais une chose est certaine, son montant global demeure très inférieur à celui d’autres grands risques tels que les dernières catastrophes naturelles qui ont frappé de nombreuses parties du monde ces dernières années. Ce qui préoccupe les assureurs comme les entreprises est l’incertitude liée aux pertes potentielles futures dues à des attaques informatiques simultanées ou de grande ampleur. Pour être assurable, il est impératif d’effectuer une estimation des pertes associées à un risque et une modélisation de ces dernières grâce à l’analyse des séries historiques des événements passés. Or, les cyber-risques étant une menace récente, les assureurs ne disposent pas d’un historique ni d’une base de données actuarielles assez riche pour réaliser des estimations précises. En effet, rares sont les entreprises qui révèlent qu’elles ont été victimes de cyber-attaques et qui acceptent d’en parler publiquement, même si cela tend à changer depuis quelques mois. Les seules bases statistiques disponibles sont celles publiées par des organismes privés de conseil ou d’édition de solutions en cyber-sécurité, ce qui peut biaiser les résultats, notamment en raison de l’échantillon statistique constitué de leur unique clientèle. Insuffisant donc pour les compagnies d’assurance qui manquent d’une source d’information fiable, même si cela devrait évoluer dans le bon sens dans les années qui viennent. L’assurance cyber a donc un bel avenir devant elle.

Margaux Savarit-Cornali

GUIDE ET CLASSEMENTS

> Guide 2024

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail