Assurance des risques informatiques : un marché qui attend d’exploser
La multiplication des incidents de sécurité et l’évolution attendue de la réglementation européenne sur leur divulgation, ainsi que sur les peines liées aux fuites de données personnelles, pourraient faire décoller, sur le Vieux Continent, le marché de l’assurance du risque informatique.
Selon Reuters, le marché de l’assurance du risque informatique devrait bientôt tenir ses promesses. Outre-Atlantique, selon nos confrères, celui-ci s’est déjà développé jusqu’à peser environ 1,3 Md$ en primes annuelles, en progression de près d’un tiers par rapport à 2012. Une goutte d’eau dans un marché local de l’assurance hors-vie estimé à plus de 650 Md$. Mais selon Stephen Wares, du courtier Marsh, cité par Reuters, «nous en sommes [en Europe et au Royaume-Uni] là où le marché américain en était en 2004 ou 2005 ». Un retard imputable notamment à l’absence, en Europe, de contraintes légales aussi fortes qu’aux Etats-Unis, «avec des lois qui forcent les entreprises, souvent avec un coût considérable, à informer les personnes lorsque leurs données personnelles ont été compromises », explique-t-il. De fait, François Brisson, responsable marché Technologie-Média-Télécoms d’Hiscox France, expliquait dans nos colonnes, en février dernier, que l’assurance du risque informatique «est un nouveau marché en France. [...] Il n’y a encore que quelques compagnies d’assurances qui interviennent aujourd’hui dans ce domaine». Actif outre-Atlantique sur ce secteur depuis 2005, Hiscox n’a lancé son offre dédiée en Europe que depuis «environ deux petites années », précisait-il. Plus important encore, la conscience du risque financier associé au risque technique ne se développe que lentement : «il y a un an et demi, on évangélisait - je ne vais pas dire “dans le désert”, mais pas loin», soulignait François Brisson.
De l’effet Sony...
Le double-piratage des services en ligne de Sony, en 2011, semble avoir eu l’effet d’un premier électrochoc : près de 100 millions de comptes utilisateurs en ligne compromis... Pour Yann Piederriere, responsable de l’offre conformité de Provadys, cela ne faisait pas de doute : « c’est un cas très intéressant ; il réunit beaucoup d’éléments susceptibles d’en faire un cas d’école.» A l’époque, Patrick Pouillot, Directeur de Souscription Assurance des systèmes d’information pour l’Europe Continentale chez ACE Europe, relevait même qu’il était «probable que les assureurs ne puissent pas totalement assumer ». Et d’expliquer que, selon lui, il était possible, alors, que «le marché de l’assurance [n’ait pas encore] pris conscience de la portée du risque avec les effets multiplicateurs d’Internet ». D’autant plus qu’avant ce cas, le retour d’expérience, pour les assurances avait été très relatif outre-Atlantique. Pour lui, le cas Sony s’inscrivait dans «un scénario complètement atypique et totalement exorbitant de ce qu’un assureur peut supporter ».
Mais déjà, peu de temps après, en juin 2011, Kevin Kalinich, co-directeur national du groupe Risque Professionnel du courtier Aon expliquait à Reuters que «dès que survient une fuite de données catastrophique... oui, les téléphones se mettent à sonner ». Patrick Pouillot relevait alors «à quel point ces événements récents ont sensibilisé les grands comptes ». Et pour ne rien gâcher, Sony a récolté, en janvier dernier, une amende de 250 000 £ outre-Manche pour ce double piratage. Pour Henry Sainty, spécialiste des médias et des technologies du cabinet Farrer & Co., interrogé par Reuters, «le régulateur affutait ses crocs ».
... à la prise de conscience institutionnelle
Mais un facteur supplémentaire s’ajoute à cela : le projet de réglementation européenne présenté en janvier 2012 et visant à rendre obligatoire la notification des fuites de données personnelles aux personnes concernées ainsi qu’aux autorités de protection des données personnelles compétentes, dont la Cnil - pour la France. Avec des amendes conséquentes en cas de manquement. De quoi renforcer considérablement le risque juridique sur les entreprises. Ce règlement, présenté par la Commission en juin dernier, doit notamment fournir aux entreprises un cadre clair sur les dispositions de protection à prendre. Dispositions dont une «liste indicative» sera établie par l’Enisa, l’agence européenne de protection des réseaux et des systèmes d’information. Ces nouvelles dispositions devraient entrer en vigueur en 2014. Pour Rafi Azim-Khan, associé du cabinet Pillsbury et qui s’exprime auprès de Reuters, cela «devrait empêcher les PDG de dormir. Il doit être bien clair maintenant que la transparence et l’efficacité dans la protection des données devraient être considérées au niveau du conseil d’administration ».
Reste que, pour l’heure, selon nos confrères, les efforts d’assurance se concentrent sur les acteurs manipulant les données les plus sensibles - santé, services financiers, commerce - avec un taux de couverture des entreprises au Royaume-Uni ne dépassant pas 12 % contre 30 % outre-Atlantique. Et encore, avec une appréhension limitée de l’ampleur réelle du risque.