La cyber-assurance n’assure-t-elle plus ?

Le marché de la cyber-assurance

Nous avons connu une forte évolution du marché de la cyber-assurance ces cinq dernières années ; et ce n’est pas tous les jours qu’il y a de nouvelles opportunités commerciales dans ce domaine !

Tout d’abord, nous sommes face à une montée en puissance des cyber-risques liés à l’explosion de la surface d’attaque, notamment à la suite de la mise en place du télétravail et des nouveaux modes de communication au sein des entreprises, peu importe leur taille et leur activité.

On pourrait catégoriser ces cyber-risques en cinq grands groupes :

1. Le risque de vol / perte de Propriété Intellectuelle (PI), savoir-faire et autre expertise digitalisée dans les systèmes d’information (SI) de l’entreprise,
2. Le risque réputationnel qui contribue à la confiance des clients tout comme des fournisseurs,
3. Le risque de perte d’exploitation ou d’arrêt des services informatiques relatifs à un incident d’exploitation externe ou systémique (incendie, coupure réseau par exemple),
4. Le risque de non-conformité réglementaire ; en particulier celui relatif à la protection des données à caractère personnel (RGPD),
5. Le risque lié à un cas de dysfonctionnement du SI ou d’inaccessibilité aux données et aux services (cas du chiffrement des données et DDoS).

Bien que les deux premiers risques (vol de PI et perte de réputation) soient les plus importants, ils ne sont généralement pas couverts par les clauses de cyber-assurance, car difficilement évaluables. En contrepartie, les cyber-assurances proposent une couverture simplement financière dont l’estimation reste à la charge de l’entreprise[1].

Les risques de perte d’exploitation ou d’incendie liés à un fait externe étaient habituellement couverts par les assureurs bien avant l’émergence de notre société digitalisée. Avec l’arrivée des contrats spécifiques de cyber-assurance, ces deux clauses ont été extraites des contrats standards puis intégrées dans la cyber-assurance, au même titre que les risques de non-conformité réglementaire et d’inaccessibilité des données.

Le cyber-risque est souvent difficile à estimer et devient un sujet de Comité de Direction. Membre de ce Comité, le directeur financier va proposer à ses pairs de couvrir financièrement ce risque par une assurance cyber comme cela est fait pour la fraude ou l’incendie. C’est la raison pour laquelle, il y a eu une forte progression des contrats cyber et plus particulièrement aux États-Unis.

Le CESIN, Club des Experts Sécurité de l’Information et du Numérique, publie chaque année un baromètre des tendances en matière de cybersécurité.

En 2019, la cyber-assurance était une tendance forte, et ce depuis déjà plusieurs dernières années (voir extrait ci-après).

Cependant, en 2020[2] comme de nouveau en 2021[3] (voir ci-après), force est de constater que seulement près d’un quart des répondants a fait appel à sa cyber-assurance en cas d’attaque, sans doute prenant en compte le poids de la franchise et une potentielle hausse de leurs primes les années suivantes.

Processus de gestion des risques cyber

D’une manière générale, le responsable des assurances contribue à la couverture des risques liés à des fonctions essentielles de l’entreprise en trouvant la meilleure solution pour transférer les risques résiduels[4] vers une tierce-partie de confiance telle qu’une société d’assurance. Il doit désormais mettre en place un nouveau contrat cyber avec l’aide de la direction des risques et du directeur cybersécurité qui va identifier, catégoriser et définir les actions de réduction du risque et in-fine, remettre à la direction générale le choix d’accepter ou de transférer vers un tiers les risques cyber.

Il ne faut pas perdre de vue que le directeur cybersécurité devra tout mettre en œuvre pour que l’ensemble des plans d’action visant à réduire les risques identifiés lors d’un audit préalable soit en place avant d’avoir recours au transfert des risques résiduels vers une cyber-assurance ou un tiers sous-traitant.

Lors de la journée de la cybersécurité de Silicon en décembre dernier, Cathy Loiseau et Jean-François Louâpre venaient rappeler qu’une assurance cyber n’est pas obligatoire : [… c’est un des éléments pour contenir les cyber-risques ou plus simplement en réduire l’impact, … mais pas la probabilité d’occurrence]. Il s’agit ici de l’impact financier car la cyber-assurance ne corrige pas l’origine du problème.

Même s’il n’existe pas de standard de clauses pour les cyber-assurances, les entreprises sont en droit de demander de couvrir, en plus de la perte d’exploitation, des dommages organisationnels ou contractuels et de la fraude, les risques relatifs à :

• l’assistance et à l’élaboration de la cellule de crise,
• la prise en charge des frais d’enquête de type forensic,
• la couverture des frais de notification et des frais juridiques en cas de perte de données à caractère personnel.

Pour ce qui est des attaques par rançongiciel (ransomware), et en suivant les recommandations de l’ANSSI, de plus en plus d’assureurs marquent leurs différences en arrêtant de rembourser les frais d’extorsion le cas échéant.

L’AMRAE a publié en mai 2021 le rapport LUCY[5] qui donne enfin une analyse s’appuyant sur les chiffres produits par les courtiers. En synthèse de ce document, le ratio Sinistre sur Prime est estimé à 167% … donc pas rentable pour les cyber-assureurs. Mais dans le détail de ce rapport, seuls quatre sinistres pour des grandes entreprises ont causé les plus lourdes pertes et ont compensé les gains engendrés par tous les autres contrats !

Sans suivre la récente position du directeur de l’AMRAE, Olivier Wild[6] (indiquant la fin des cyber-assurances), on constate que deux alternatives aux cyber-assurances voient le jour. D’une part, et comme proposé par l’AMRAE, il y a un développement de Captives d’Assurance qui proposent de mutualiser les risques au sein d’une structure, un groupe et ses partenaires par exemple, en capitalisant pour couvrir le risque. Cette captive n’ayant pas l’objectif de faire de bénéfices, elle les reversera aux actionnaires. D’autre part, une activité de prévention par un solide contrôle en continu des risques cyber comme le propose YesWeHack (programme de Bug Bounty) et adhérent de la Fédération Numérique des Tiers de Confiance (FNTC).

Comme on le voit, il existe des alternatives intéressantes aux contrats de cyber-assurance dont les primes ont fortement augmenté cette année. Il est donc plus important encore que le directeur cybersécurité et le responsable des assurances mettent en place des actions pour réduire la probabilité d’occurrence des risques cyber et en réduire leur impact tout en valorisant financièrement ces risques résiduels pour les soumettre au comité de direction qui devra soit les accepter, soit les transférer vers un tiers de confiance de son choix.