Assurance cyber 2.0 : repenser le pilotage des risques pour renforcer la résilience des assurés et des assureurs

Dans un paysage numérique en constante évolution, l'étude LUmière sur la CYberassurance (LUCY) offre une perspective rassurante sur le marché de l'assurance cyber pour l'année 2022-2023.

Dans un paysage numérique en constante évolution, l'étude LUmière sur la CYberassurance (LUCY) offre une perspective rassurante sur le marché de l'assurance cyber pour l'année 2022-2023.

Les conclusions de ce rapport résonnent avec les analyses de l'ANSSI : « malgré une année marquée par le conflit russo-ukrainien et ses effets dans le cyberespace, la menace informatique en France n’a pas connu d’évolution majeure, les tendances identifiées en 2021 s’étant confirmées en 2022 ». Du côté des assureurs, le ratio sinistre-prime revient à la normale après les envolées historiques de 2020. En réalité, cette apparente stabilité cache une réalité plus complexe. Alors, quelles perspectives pour déverrouiller le marché de la cyber assurance ?

D’une meilleure maturité défensive…

La diminution du nombre d'attaques réussies s’explique en partie par la maturité défensive accrue des entreprises françaises. Elles ont su renforcer leurs défenses, limitant ainsi les possibilités d'intrusion et rendant la tâche plus ardue pour les cybercriminels. Mais il demeure une grande différence entre les moyens humains, technologiques et financiers entre les grands comptes et les PME. Avec un niveau général qui reste élevé, l’ANSSI note que cette menace touche de moins en moins d’opérateurs régulés et se déporte sur des entités moins bien protégées. Même constat pour la cyber-assurance : le taux de pénétration est faible et sans surprise particulièrement sur le marché des PME, mais aussi des ETI. Malgré une augmentation de 12,7 % des capacités disponibles pour les grandes entreprises en 2022 (par rapport à 2021, selon le rapport LUCY 3), les disparités se creusent pour les entreprises de taille intermédiaire (-8 %) et de taille moyenne (-13 %).

… Vers une gestion proactive du risque

Que l'on soit dans le rôle de l'assureur ou de l'assuré, il est essentiel de comprendre pleinement les risques associés à la cybercriminalité. En ayant une vision globale du risque   par l'ensemble de leur portefeuille d'assurés, les assureurs seraient en mesure d'adapter leurs offres, leurs garanties et leurs primes. Ainsi, un portefeuille équilibré, avec une vision dynamique et granulaire, leur permettrait d'assurer de nouveaux clients.

Pour déverrouiller le marché de l'assurance cyber, il est essentiel pour les entreprises de reconnaître que la protection contre les cyber-risques ne peut se limiter à une assurance seule. Elle doit faire partie intégrante d'une stratégie globale de gestion des risques, impliquant un renforcement de la maturité défensive des entreprises de toutes tailles.

La prévention trouve donc toute sa place pour améliorer la protection des entreprises pour réduire leur risque mais aussi pour améliorer les conditions de leur assurabilité. Assureurs et intermédiaires d’assurance l’ont bien compris et offrent de plus en plus de solutions complètes afin d’accompagner les entreprises dès la phase sensibilisation au risque afin d’incarner le rôle de partenaire dans l’ensemble du cycle de gestion du risque.

Quel rôle pour la Cyber Threat Intelligence ?

Comprendre et mesurer le risque cyber requiert l'union de deux disciplines : la quantification du risque et la Cyber Threat Intelligence. La quantification du risque, bien connue des assureurs, reste difficile à mesurer de manière adéquate en raison de l'inadaptation des approches standards de modélisation liées au risque cyber. Cependant, en 2021, la méthode FAIR est venue combler ce manque en proposant un modèle d’analyse du risque objective et quantifiable, qui permet d’estimer le risque de façon mathématique. Pour être encore plus pertinente, celle-ci peut être enrichie dynamiquement par des modèles bayésiens afin d’être plus exhaustive.

La Cyber Threat Intelligence, quant à elle, se concentre sur la source du risque : les menaces. En fournissant des informations constamment mises à jour sur les capacités offensives des cybermenaces, elle permet de prédire avec précision la fréquence et le niveau de vulnérabilité des cibles de ces attaques.

Le marché de l’assurance cyber n’a pas encore atteint son plein potentiel, il est encore à la recherche de croissance mais aussi du juste équilibre entre rentabilité pour les assureurs et protection pertinente pour les assurés. Pour aller chercher cette croissance, l’assurance cyber doit encore trouver sa place dans la gestion du risque cyber des entreprises de toutes tailles et ne plus être seulement l’affaire des grandes organisations.

Un langage commun et une lecture objective du risque permettra aux assureurs et aux assurés de se retrouver en confiance