S'assurer contre les risques cyber : oui, mais quand ?

Le marché de l'assurance du risque cyber prend de l'importance en France. Plus de 20 acteurs français ont ouvert leur souscription sur ce type de produits.

L’assurance du risque informatique n’est pas nouvelle mais le marché de la couverture en assurance du risque cyber ne s’est réellement développé en France qu’aux alentours de 2013. Précédemment, la couverture était principalement destinée à la couverture du matériel informatique mais rapidement les entreprises ont pris conscience que la valeur de leur système informatique n’étant pas tant lié à leur infrastructure matérielle mais à leur contenu, les données quelles qu’elles soient : données de salariés, clients, données métiers…

À cette période,  le marché français est très largement capté par les trois plus importants assureurs nord-américains (AIG, Chubb et Beazley) de ce segment encore considéré comme une niche. Moins de cinq années plus tard, ce sont plus de 20 acteurs du marché français qui ont ouvert leur souscription sur ce type de produits comme l’indique le rapport Global Cyber Market Overview publié par Aon. Déjà beaucoup plus mature, le  marché nord-américain et ses quelques  70 assureurs cyber ne déroge pas à la règle et enregistre la même tendance de forte croissance : en 2017, la croissance du volume de prime atteint le niveau record de 37% à 1,84 milliard de dollars et laisse alors présager de belles années à venir pour le marché français estimé à quelques 70 millions d'euros en 2017 (Source : estimation Aon France). A compter de 2018, les entreprises souhaitant souscrire ce type de protection n’ont désormais plus d’excuse : la très grande majorité des assureurs dispose d’une offre cyber qui peut être souscrite seule ou en extension d’autres couvertures d’assurance telles que la responsabilité civile, le dommage ou encore la fraude. Cette tendance n’est pas prête de s’inverser avec un marché potentiel de 20 milliards de dollars à l’horizon 2025, selonl’assureur Allianz. Pour autant, les assureurs ne sont pas plus à l’aise en 2018 à souscrire ce risque qu’ils ne l’étaient cinq ans auparavant. Comment expliquer un tel appétit sur un risque en permanente évolution et encore peu mature ?

Augmentation de la sinistralité reportée aux assureurs

Si les attaques cyber ne sont pas nouvelles, la collecte de données par les assureurs reste directement corrélée au taux d’équipement de leurs assurés qui était encore très faible jusqu’alors. Environ un tiers des TPE/PME selon le baromètre Cyber Sécurité établi par Orange Business Services en 2018. Pour les ETI, ce taux augmente à plus de 40% comme l’indique le baromètre du CESIN et grimpe à plus de 70% pour les très grandes entreprises CAC 40 ou assimilés. Collecter de la donnée est un élément déterminant dans la modélisation du risque comme le rappelait récemment le Club des Juristes dans le Tome 1 de son rapport Assurer le risque Cyber. Conscients de ces enjeux, la Fédération Française des Assurances et l’assureur MMA se sont notamment associés à Cybermalveillance.gouv.fr, le programme gouvernemental français de sensibilisation, prévention et soutien en matière de cyber sécurité développé par l’ANSSI.

Ceci étant dit, les assureurs ne résonnent pas en volume de sinistres mais en rapport de sinistralité à primes souscrites. Or, le volume de primes ayant augmenté plus rapidement que celui des sinistres, ces ratios s’améliorent au fur et à mesure des années de souscription. Selon la dernière étude menée par Aon, le ratio du rapport Sinistres à Primes aux USA se situe à 32,4% en 2017 alors qu’il atteignait 47,6% un an plus tôt.  Les assureurs comptent également sur le gain en maturité de leurs assurés, soit volontairement soit sous la pression réglementaire. A l’image d’AXA qui s’est adjoint les services de la plateforme SecurityScorecard, les assureurs complètent leur connaissance du risque cyber tant pour garantir la qualité de leur souscription (assurabilité et tarification) que pour développer des services de conseil en cybersécurité. Il en est de même pour les courtiers qui s’adjoignent les services de sociétés spécialisées.

Tout comme il est d’usage dans les branches de dommages aux biens, les assureurs ont tout intérêt à pousser leurs assurés à adopter des démarches de prévention. A la clé pour les entreprises clientes, une meilleure intégration de leur police d’assurance cyber dans leur politique globale de gestion de ce même risque. En effet, la police cyber n’est pas uniquement une protection financière du bilan de l’entreprise en cas de sinistre, les assureurs articulent les garanties autour de services, disponibles 24/24h et 7/7j soit auprès de plateformes détenues en propre par l’assureur (notamment AXA ou AIG) ou sous-traitées à des sociétés spécialisées (par exemple, le réseau d’expert Crawford auquel fait appel l’assureur Chubb). Ces plateformes jouent à la fois le rôle de tri des incidents (selon l’assureur AIG qui répertorie une déclaration de sinistre par jour en 2017, 80% d’entre elles sont catégorisées comme des incidents susceptibles d’être gérés dans les 72 premières heures après notification) et de mise en relation avec des prestataires spécialisés (investigation technique, conseil juridique, conseil en gestion de crise ou communication…) selon le cas de figure.

Dans un contexte de marché où la capacité mise à disposition par les assureurs est nettement supérieure à la demande et où les primes sont significativement plus compétitives que sur les marchés anglo-saxons, comment expliquer les freins à la souscription, une grande majorité des ETI et PME françaises étant encore non équipées ?

Patience et pédagogie doivent guider plus que jamais les actions des courtiers

Pour arriver en France à des taux de souscription équivalents à ceux du marché américain, assureurs et courtiers vont devoir s’armer de patience. Si, comme le précise le baromètre 2017 mené par The Risk Management Society (l’association des professionnels du management des risques) , 83% des entreprises bénéficiaient d’une couverture cyber en 2017, il aura fallu au marché américain plus de 10 ans et des premières souscriptions réellement initiées vers 2006 pour arriver à ce taux d’équipement. A cela s’ajoutent des attentes différentes de la part des entreprises françaises des nord-américaines. Certes, le risque de réclamation de tiers a été significativement renforcé par la médiatisation autour de la transposition du Règlement Général pour laProtection des Données (RGPD) mais la France – et l’Europe en général – demeurent moins litigieuses que les Etars-Unis.

Mais l’une des principales raisons de la réticence à la souscription est la méconnaissance de son propre risque et de l’impact sur son organisation en cas d’événement majeur tel que Wannacry ou Petya. Si les impacts financiers sont bien réels, ils sont difficilement quantifiables ou ne sont que partiellement reportés. A titre d’exemple, l’étude Global Economic Crime Survey 2018 menée tous les deux ans par PWC analyse les impacts de la cybercriminalité en France sous l’angle de la fraude subie par les entreprises. Or, les conséquences d’une attaque ne se limitent pas à ce cas de figure et doivent  être appréhendées dans son ensemble en y intégrant les coûts d’investigation, de communication, l’impact sur l’image ou sur le chiffre d’affaires y compris dans les cas d’actions préventives en cas de suspicion d’attaque. A l’inverse, des chiffres alarmistes sont publiées à l’image du Cybercrime Report 2017 publié par Cybersecurity Ventures qui prévoit des pertes liés aux attaques Cyber atteignant 6 billions de dollars en 2021.

Les entreprises attendent donc des exemples concrets. Il peut s’agir de cas reportés   par l’ANSSI mais aussi de retour d’expérience de leurs courtiers dans la gestion des sinistres ou  de témoignages de leurs pairs.  A cet effet, il faut souligner l’effort de TV5 Monde, ou plus récemment Saint-Gobain, d’avoir communiqué sur les conséquences des attaques dont elles ont été victimes et qui ont clairement éveillé les consciences des dirigeants.

Ces derniers sont clairement au cœur de la gouvernance du risque cyber et sont, pour autant, encore insuffisamment informés sur ce risque comme en témoigne l’étude. Le critère financier est bien évidemment déterminant dans l’arbitrage entre l’investissement à réaliser pour la protection des systèmes d’information et l’achat d’une nouvelle couverture d’assurance. Le baromètre du CESIN témoigne d’ores et déjà du sous-investissement en matière de sécurité qui représente moins de 5% du budget IT dans près des deux tiers des entreprises françaises. En outre, alors que certains assureurs n’exigent que quelques cases à cocher sur un formulaire en ligne, plus la taille du souscripteur sera importante, plus le niveau d’information requis par le ou les assureurs sollicités sont invasifs et susceptibles de constituer un frein à la souscription. 

Il est du devoir des courtiers d’activement poursuivre auprès des entreprises leur rôle de sensibilisation, de conseil et d’intermédiation avec les assureurs afin de les aider à sauter le pas et à profiter des meilleures conditions d’un marché d’assurance porteur. La couverture d’assurance cyber trouve aujourd’hui totalement sa place dans la politique de cyber résilience des entreprises. Il s’agit certes d’un investissement pour elles mais qui s’inscrit dans une démarche inéluctable de management de ce risque. Cela au même titre que l’on n’imaginerait plus avoir un réseau informatique sans pare-feu ou antivirus à jour.