petzshadow - Fotolia
Pour le monde de l’assurance, le risque cyber prend une toute nouvelle dimension
Les menaces informatiques représentent à la fois une opportunité alléchante, et un risque croissant pour les assurances. Pour limiter leur exposition, elles cherchent à mieux comprendre leurs clients. Mais sans solution miracle.
C’était en janvier dernier. La Fédération française de l’assurance alertait : le risque cyber constituait « la menace la plus prégnante pour le secteur de l’assurance et de la réassurance ». Et cela par « l’ampleur de ses conséquences économiques et géopolitiques potentielles ». Ces observations survenaient à l’occasion de la présentation des résultats du premier baromètre des risques émergents de l’assurance. Celui-ci s’appuyait sur un sondage mené fin 2017 auprès des 30 principales compagnies d’assurance et de réassurance.
Une population assurée appelée à s’étendre
WannaCry et NotPetya étaient passés par là et avaient laissé des traces. Ainsi, un peu plus tard, fin mars, Bessé et PwC assuraient que 76 % des entreprises de taille intermédiaire avaient subi au moins un incident cyber en 2017. Et si les dirigeants interrogés pour cette étude peinaient alors à définir précisément le risque cyber, selon le cabinet, ils ont « conscience qu’il s’agit d’un risque d’une extrême complexité, de nature à s’amplifier ».
Mais ce n’est pas la seule raison pour laquelle le monde de l’assurance et de la réassurance peut se montrer préoccupé. De fait, malgré la multiplication des offres dédiées à la couverture du risque résiduel - chez Allianz, l’an dernier, mais également Generali, et tout récemment à la Matmut -, les entreprises semblent encore réticentes à s’orienter dans cette voie. Selon Bessé et PwC, « la plupart des dirigeants interviewés axent prioritairement leurs réflexions sur la prévention et repoussent l’étude de solutions d’assurance ».
Ce dernier résultat peut apparaître contradictoire avec ceux du sondage Cesin-OpinionWay dévoilé en janvier dernier, qui laissait apparaître un intérêt prononcé pour l’assurance cyber. Mais ce sondage avait été réalisé auprès d’une population bien spécifique : 142 membres du Club des experts de la sécurité de l’information et du numérique. Et ceux-ci ont peut-être bien plus identifié leur degré d’exposition à la menace cyber, ainsi que les conséquences potentielles d’un incident, que ceux consultés dans le cadre de l’étude Bessé/PwC.
Des menaces en forte croissance
Toutefois, le recours à la cyber-assurance progresse, comme en témoigne l’évolution des demandes d’indemnisation enregistrées au titre de celle-ci. AIG relève ainsi que, dans la région Europe, Moyen-Orient et Afrique (EMEA), les demandes de cette nature ont été aussi nombreuses l’an dernier qu’au cours des quatre années précédentes.
En 2017, ce sont les rançongiciels qui ont été à l’origine du plus grand nombre de demandes, représentant 26 % de toutes celles qui ont été enregistrées. Les tentatives d’extorsion liées à des brèches de sécurité par des pirates se sont inscrites en seconde position, à 12 %.
En soi, cette répartition ne constitue pas une surprise : dans l’édition 2018 de son rapport sur ses enquêtes sur incidents de sécurité, Verizon plaçait les ransomwares sur la première marche du podium des menaces pour l’an dernier. En 2014, ils n’arrivaient qu’en 22e position des maliciels, par prévalence.
Face à un tel contexte, on comprend aisément que tout ce qui touche à l’extorsion cyber, par ransomware ou autre, n’ait rien de consensuel dans le monde de l’assurance, au moins en France : pour un assureur, le choix de couvrir ce risque n’a rien d’anodin. Et cela d’autant plus que, selon AIG, avec l’entrée en vigueur du RGPD, les opérations de chantage à la divulgation de brèche affectant des données personnelles risquent de se multiplier.
Le casse-tête de l’évaluation du risque
Face à cela, il n’est pas question pour les assureurs de se lancer tête baissée. L’an dernier, au printemps, Lucien Mounier, de Beazley, insistait d’ailleurs sur l’importance, pour l’assurance, de faire attention à ses expositions. Mais un peu plus tard, PwC affirmait que seuls 14 % des assureurs disposaient des données nécessaires au calcul de leur exposition au risque implicite.
Dans ce contexte, les assureurs semblent chercher à au moins connaître de mieux en mieux la posture de sécurité réelle de leurs prospects et clients. A l’automne dernier, Allianz s’est ainsi associé les services de Cyence.
Tout récemment, Axa a quant à lui annoncé avoir retenu SecurityScorecard avec le même objectif : évaluer l’assurabilité et le niveau des primes à demander. Dans un communiqué de presse, Scott Sayce, directeur souscription de l’activité cyber de l’assureur explique que la plateforme SecurityScorecard doit l’aider à « évaluer rapidement les entreprises pour comprendre leur santé cyber et apporter aux souscripteurs les informations vitales nécessaires à l’évaluation d’un risque couvert ».
Les agences de notation cyber semblent avoir le vent en poupe, qu’il s’agisse de celles déjà fortes d’un passé outre-Atlantique, ou du jeune français Cyrating. Mais pour Gérôme Billois, senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone, l’exercice ne manque pas de présenter des limites : « la réalité de la posture est complexe à prendre en compte », soulignait-il ainsi dans nos colonnes en décembre dernier, alertant au passage d’éventuelles « (dés)illusions ».