05/05/22

Quels enjeux pour assurer le risque cyber ?

La crise du COVID a bouleversé les modes de travail et plus largement le rapport au digital des Français, forçant les entreprises et ses salariés à basculer sur des fonctionnements distanciels et développant l’usage du numérique. Une occasion qu’ont saisi les réseaux de cyber criminels pour multiplier les attaques cybers : que ce soient les entreprises de grande taille, les TPE-PME, ou encore les particuliers, les actes de cyber malveillance ciblent toutes les catégories.

En parallèle, le marché de la cyber assurance n’a pas encore trouvé son régime permanent : d’un côté, les clients ne se sont pas pleinement appropriés ce type d’assurance, avec des taux d’adoption très variables selon les profils des entreprises, et d’un autre, les acteurs de la cyber assurance rencontrent des difficultés pour élaborer une réponse assurantielle robuste à un risque de plus en plus systématique. À quels enjeux ces derniers sont-ils confrontés, et quelles perspectives s’offrent à eux ?

Un risque difficile à mutualiser

Pour proposer un produit de cyber assurance pérenne, les assureurs doivent être en mesure d’encaisser davantage de primes que de prendre en charge les indemnisations de sinistres, mais le contexte particulier du marché de l’assurance cyber rend ce prérequis aujourd’hui difficile à atteindre.

D’une part, peu d’entreprises souscrivent une assurance cyber : d’après une étude de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) datant de 2021, l’ultra majorité (87%) des grandes entreprises, dont le CA est supérieur à 1,5 Mds d’euros, sont certes équipées, mais seulement 8% des entreprises de taille intermédiaire sont couvertes. Les primes perçues entre 2019 et 2020 ont ainsi faiblement augmenté, passant de 87 millions d’euros à 130 millions d’euros. Ce constat se traduit par une mutualisation des risques difficile à atteindre, l’équilibre économique des acteurs étant en risque en cas de sinistres de forte intensité.

D’autre part, la sinistralité ne cesse d’augmenter. En l’espace d’un an, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a ainsi estimé une augmentation de 37% du nombre d’intrusions critiques au bon fonctionnement du pays, passant de 786 attaques répertoriées en 2020 à 1082 en 2021. Les attaques par rançongiciels sont également en forte progression : en 2020, en France, leur nombre a augmenté de 255 %, selon les chiffres publiés par l’ANSSI en novembre 2021.

Conséquence de l’augmentation du nombre de sinistres,le volume d’indemnisation a été multiplié par trois entre 2019 et 2020, passant de 73 millions d’euros à 217 millions d’euros (porté en grande partie par 4 sinistres sur des grandes entreprises, équivalent à 78% des montants d’indemnisation). Couplé à une moindre augmentation des primes perçues, le ratio sinistre à prime a bondi de 167%, contre 84% l’année d’avant : concrètement, l’activité de cyber assurance se traduit par des pertes pour les acteurs du secteur, les rendant particulièrement prudents.

Un risque difficile à modéliser

Par nature, le risque cyber est un risque systémique, à la fois capable d’affecter une entreprise et les parties en interaction avec celle-ci, que ce soit des partenaires ou des clients, mais aussi sujet à une forte volatilité des montants d’indemnisation (à l’image des sinistres de grandes envergures de 2020), rendant de fait sa modélisation complexe.

A cette première complexité s’ajoute le manque de données accessibles, limitant la capacité à concevoir une réponse assurantielle robuste et pérenne. Plusieurs freins peuvent ainsi être cités :

  • Le nombre de clients ayant souscrit une assurance cyber est peu développé
  • Les sinistres ne sont pas systématiquement déclarés par les entreprises victimes d’attaque
  • Le manque d’harmonisation au niveau national et international, couplé à des déclarations de sinistres non systématiques, rend complexe la création d’une base de données consolidant tous les actes de malveillance

Enfin, la connaissance particulièrement hétérogène des entreprises de leur niveau d’exposition aux risques cyber complexifie la tâche des assureurs, qui ne disposent pas de toutes les informations permettant de proposer une couverture adéquate. Les assureurs ont ainsi durci leurs questionnaires de souscription, afin d’inciter les entreprises à mettre en œuvre des bonnes pratiques & des outils limitant leur exposition aux risques.

Développer la connaissance de l’exposition aux risques peut se traduire également par l’intervention d’agences de notation en risque cyber : plus mature dans les pays anglo-saxons, où les agences de notation (que ce soient les grandes agences américaines telles que Standard & Poor’s et Moody’s, ou des pure players tels que Security ScoreCard, BitSight, Panorays ou UpGuard) intègrent dans leur appréciation la capacité des entreprises à résister à une cyber attaque, cette pratique est peu développée en Europe, avec seuls quelques acteurs positionnés sur le créneau (tel que Cyrating, première agence de notation en cybersécurité européenne).

Un risque soumis à un flou juridique

En premier lieu, il n’existe pas de définition commune sur les cyber risques, chaque acteur ayant sa propre vision du sujet. Comme le note la députée Valeria Faure Muntian dans un rapport parlementaire datant de 2021 sur la cyber assurance, “eu égard à la grande diversité des libellés de police existant sur le marché, il convient, selon l’autorité européenne (EIOPA) d’améliorer la compréhension commune et cohérente de la terminologie et des définitions de la cyber-assurance.  La complexité actuelle due à la vaste gamme de libellés de polices différents, au manque d’information, à l’absence d’un système de gestion des risques, de différentes formulations de polices et l’absence de définitions et d’exclusions communes entraîne des difficultés de compréhension pour les clients, les courtiers et les assureurs“.

Ces incompréhensions concernent notamment le niveau de couverture des contrats et ont dû, dans certains cas, se résoudre devant les tribunaux. Les affaires opposant Mondelez à Zurich, Merck à Ace ou DLA Piper à Hiscox sont par exemple les conséquences de NotPetya : victimes du rançongiciel, ces entreprises se sont vues refuser une indemnisation de la part de leurs assureurs, invoquant l’exclusion pour acte de guerre.

La politique de paiement des rançons en cas d’attaque par ransomware est également un sujet soumis à des prises de position divergentes. Aucune règle n’étant imposée, le paiement ou non de la rançon est laissé à la discrétion de l’assureur : les cas de paiement de rançon ont ainsi pu contribuer au développement de ces attaques, les hackers pouvant espérer des revenus réguliers. Le gouvernement a pris position dans le cadre du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) le 16 mars dernier :  d’après cette proposition, le paiement des rançons par un assureur sera  « subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon ». Encore au stade de projet de loi, ce texte sera soumis au vote du Parlement à partir de l’été 2022 : il est encore trop tôt pour estimer s’il participera à la diminution du nombre de ces attaques, mais il permettra à minima de disposer d’un cadre normé et de davantage d’informations sur la fréquence des actes de malveillance.

Conclusion : quelles perspectives pour répondre aux besoins de couverture des cyber risques ?

L’élaboration d’un produit d’assurance cyber répondant à la fois à un niveau de couverture adapté aux besoins des clients et à un équilibre économique se retrouve ainsi confrontée à différents enjeux. Les actions menées par les acteurs étatiques pour structurer davantage le secteur (LOPMI, directive NIS 2, développement de centres cyber partout en Europe pour détecter le plus en amont possible les menaces cyber, …) auront un effet bénéfique sur la maîtrise des risques, mais s’inscrivent sur un temps long.

Afin d’adresser les risques cyber à plus court terme, des approches alternatives doivent être envisagées. La généralisation d’initiatives de sensibilisation et de prévention représente ainsi un enjeu majeur (enjeux & solutions que vous pourrez retrouver dans un précédent article) et se trouve régulièrement mise en avant par les acteurs du marché, comme l’évoque Florence Lustman, présidente de France Assureur, pour qui il faut faire « de la lutte contre les menaces cyber une priorité nationale axée sur la sensibilisation et la prévention ».  Bénéfique à plusieurs égards (prise de conscience par les cibles potentielles de leur vulnérabilité face aux attaques, adoption plus systématique d’une hygiène informatique limitant la surface d’exposition aux risques cyber, …), cette approche permettra aux acteurs de la cyber assurance de se concentrer, in fine, sur le risque résiduel.

Un article rédigé par

Julien Levrier, Senior Manager