Perspectives, enjeux et défis de l’assurance cyber

Le 4 octobre, une panne mondiale affectant Facebook, Whatsapp et Instagram pendant de longues heures, fait perdre 6 milliards de dollars à Mark Zuckerberg. Si au vu de la fortune de l’homme d’affaires, la perte semble anecdotique, à tout le moins largement supportable, les risques liés à un défaut du cyber peuvent être bien plus préoccupants pour le commun des entreprises. Comment peuvent-elles gérer ce risque ?

Rencontre avec Jean-Philippe Pagès, directeur Industrie & Services de Bessé, conseil en assurances et responsable du pilotage des activités de cyber assurance.

Par Sarah Pineau

Les débuts de l’assurance cyber

Le marché de l’assurance cyber a vu le jour aux Etats-Unis au début des années 2000, à la faveur d’un vol de données ayant touché les fonctionnaires d’une université. A la suite de cet épisode malheureux, la législation américaine évolue : désormais, tout vol de données doit faire l’objet d’une notification à sa victime qui, dès lors, peut demander son indemnisation. Toutes choses égales par ailleurs, cette évolution juridique peut être considérée comme l’embryon du RGPD européen. Du fait de cette obligation juridique, les assureurs ont vite compris que le risque cyber était assurable et ont proposé les premières offres d’assurance en la matière. « Cependant, compte tenu de la configuration du risque cyber à l’époque, essentiellement du vol de données, les offres proposées étaient essentiellement tournées vers la responsabilité civile : la notification à la victime du vol de ses données a un coût facilement quantifiable. En tout état de cause, plus appréhendable que celui du préjudice éventuel lié à ce vol. » analyse Jean-Philippe Pagès.

De l’autre côté de l’Atlantique, le sujet intéresse aussi mais n’est pas suivi d’effets. L’écho est faible car le vol de données est très difficile à prouver. Il faut ainsi attendre 2014-2015 pour que l’assurance cyber commence à se développer en France et en Europe, notamment sur le marché de Londres, mais dans des proportions très modestes. « Les dirigeants ne percevaient pas encore le caractère stratégique de la menace pour leurs entreprises. » témoigne Jean-Philippe Pagès.

WannaCry en mai 2017 puis NotPetya en juin 2017 constituent un tournant dans la prise de conscience du risque cyber à l’échelle de la planète. Pour la première fois, il se matérialise : rien n’a brûlé, aucun dommage matériel n’empêche à priori le fonctionnement des sites industriels mais avec des systèmes informatiques devenus inopérants, le blocage des activités des entreprises touchées est total (approvisionnement, logistique, commandes, facturation, etc.).

S’adapter à la menace

Dès les crises du printemps 2017, le vol des données n’est plus la cible principale des hackers qui préfèrent bloquer l’ensemble des systèmes informatiques avec des pertes financières liées à l’arrêt de l’activité colossales et donc une puissance de frappe bien supérieure pour eux. « Saint-Gobain chiffre ainsi l’impact financier de l’attaque au ransomware WannaCry à 250 millions d’euros sur ses ventes et 80 millions d’euros sur son résultat d’exploitation. » souligne Jean-Philippe Pagès.

Cependant, bien que le secteur de l’assurance cyber en Europe et en France soit en mesure de proposer dès 2017 une offre structurée, la demande reste faible : une étude réalisée auprès de dirigeants d’ETI¹ par le cabinet Bessé en partenariat avec Pwc en mars 2018 montre que si 76% d’entre eux déclarent avoir subi un incident cyber, seuls 20% considèrent le cyber comme une menace « stratégique ».

Néanmoins BESSÉ continue à investir en recherche et développement pour créer avec les assureurs des solutions d’assurance, conscients que la menace cyber ne va aller qu’en s’amplifiant. « Du côté des dirigeants, la prise de conscience s’améliore doucement ; un point de situation fait par notre cabinet en 2019² en témoigne : désormais 35% des dirigeants d’ETI voient le risque cyber comme « stratégique ». ajoute Jean-Philippe Pagès.

A l’heure actuelle, les résultats de l’assurance cyber ne sont pas favorables au marché : la multiplication des attaques a été telle que la masse des sinistres cyber représente en France environ deux fois le volume de primes encaissées. De fait, le marché est entré dans une phase de correction pour prendre en compte l’évolution des risques et la sinistralité : « les tarifs et les franchises sont revus à la hausse pendant, qu’en parallèle, la capacité d’assurance diminue tout comme le champ des garanties classiques. » explique Jean-Philippe Pagès.

La cyber-résilience, clé de voûte du système en 2022

Un marché récent, encore immature mais indispensable… Voilà où semble en être, à l’heure actuelle, le marché de l’assurance cyber. La vision du risque n’est plus la même tant du côté des assurés que des assureurs : « aujourd’hui, ces derniers acceptent de souscrire le risque cyber uniquement si l’entreprise est en capacité de se prévaloir d’un niveau de maturité en cybersécurité suffisant, autrement dit si elle a mis en œuvre un système de gouvernance et de prévention du risque cyber performant » ajoute Jean-Philippe Pagès.

Néanmoins, pour contenir la menace, le marché doit continuer à évoluer, notamment pour parvenir à un portefeuille de taille suffisante permettant de mutualiser le risque – ce qui suppose de convaincre davantage de clients de s’assurer contre le risque cyber – et donc préalablement de contribuer à l’amélioration globale de la prévention du risque, dans le temps, pour maîtriser l’envolée des coûts de la sinistralité. « En un mot, l’entreprise doit organiser son niveau de cyber-résilience, c’est-à-dire être en capacité d’anticiper la crise pour en limiter l’impact et rebondir rapidement et efficacement » souligne Jean-Philippe Pagès et d’ajouter : « l’assurance cyber n’est qu’un maillon de la chaine de valeur de la cybersécurité résiliente, celle du financement du risque résiduel, que l’on enclenche dès lors que toutes les barrières de prévention et de protections du risque cyber ont été franchies ».

Les entreprises doivent donc s’engager plus avant, « investir dans le risque cyber » que ce soit en termes de gouvernance, de valorisation du risque ou encore du recrutement de personnel qualifié. Si tous espèrent que ces recommandations ne restent pas lettre morte, au panthéon des risques, le cyber est, avec les risques géopolitique, climatique et sanitaire, identifié comme l’un des plus sensibles et difficiles à traiter…

1^ Les dirigeants d’ETI face à la menace cyber, mars 2018

2^ Les dirigeants d’ETI face à la menace cyber – point de situation, novembre 2019