Comme évoqué lors de la conférence organisée par le Cercle Lab le 26 mai dernier, le marché français de la cyber-assurance, bien que peu mature par rapport à ses homologues anglo-saxons, pourrait connaitre un pic de croissance grâce aux évolutions du cadre réglementaire appliqué aux entreprises. L’enjeu des assureurs est donc d’anticiper leurs besoins et de leur proposer des offres adaptées. Mais, le cyber-risque, de par sa nature, n’est pas un risque commun à appréhender. Il pourrait remettre en cause le schéma classique de l’assurance et ouvrir le champ à un business modèle en rupture.

Se prémunir contre les risques cyber : un réel enjeu pour les entreprises

Une menace en pleine croissance…

Début 2016 encore, les cyber-attaques ont fait parler d’elles, suite au hacking du système de paiement Swift, pourtant ultra-sécurisé et qui sert à transférer des milliards de dollars chaque jour.
Et ce cas n’est pas à la marge puisque le nombre de cyber-attaques recensées a progressé de 51% en France en 2015, et de 38 % dans le monde.

Certaines de ces attaques ne sont fructueuses que des années plus tard. Ainsi, des centaines de millions de vieux comptes LinkedIn, MySpace et Tumblr, hackés en 2012, se vendaient dans les tréfonds du dark web en juin 2016, coïncidant avec la fin du cycle de vie des mots de passe volés.

cyber-attaqueEn effet, au-delà de la volonté de nuire, les motivations des cyber-attaquants peuvent être financières (par exemple, des numéros de cartes bancaires vendus en ligne entre 20$ et 27$ l’unité) ou assouvir un besoin de notoriété au service d’une action politique, sociétale ou même personnelle. Cela s’explique en partie par une expertise cyber plus accessible grâce à des outils d’attaques de plus en plus performants et disponibles sur le marché noir. Les profils de cyber-attaquants sont donc très diverses, de l’ado pirate à la cyber mafia. Cette diversité et cette inflation sont corrélées au  peu de risques qu’encourent les hackers vu la difficulté à remonter à la source de la cyber-attaque.

Les portes d’entrée sont aussi de plus en plus nombreuses grâce à la digitalisation des processus et de l’économie : l’employé qui lit ses mails sur son Smartphone ou consulte son compte bancaire, les failles de sécurité d’un prestataire qui a accès au système d’information de l’entreprise, un objet connecté mal sécurisé…

… et difficilement détectable

Plus inquiétant encore, la durée moyenne pour détecter une attaque ciblée est de 205 jours selon le rapport du spécialiste de la sécurité FireEye (2015). Et dans 69% des cas, les entreprises sont prévenues par un acteur extérieur qu’elles sont attaquées, souvent par les organismes d’état chargés des questions de cyber-sécurité.

Cela laisse donc la porte ouverte aux hackers, pour analyser et récupérer toutes les données qui les intéressent.

Une sensibilisation des entreprises en cours, en particulier des TPE/PME

À la lecture des résultats de l’étude PwC « Le marché de la cyber-assurance : la révolution commence maintenant », un besoin important de sensibilisation des dirigeants d’entreprise se fait ressentir sur 2 sujets :

   Leurs niveaux d’exposition aux cyber-risques et les impacts d’une potentielle cyber-attaque sur leurs entreprises, organisations, systèmes d’information… :

–   sécuritéEn France, 17% seulement des chefs d’entreprise se sentent exposés à la menace des cyber-attaques ;
–   Le risque ressenti par les entreprises est proportionnel à leurs tailles, puisque 29% des entreprises avec un chiffre d’affaires de plus d’un million d’euros se sentent exposées, versus 14% seulement pour les entreprises avec un chiffre d’affaires de moins de 200 000 € ;
–   Le montant annuel alloué à la sécurité informatique par employé n’atteint pas les 50 € pour plus de la moitié des PME françaises, et pourtant, 11% d’entre elles déclarent avoir déjà été victimes d’actes de malveillance.

   La connaissance des solutions de cyber-assurance et la compréhension de ces offres :

–   Ainsi, 61% des dirigeants d’entreprise ignorent l’existence des solutions de cyber-assurance protégeant les assurés contre les risques spécifiques aux usages Internet ;
–   Moins de 5% des entreprises françaises ont déjà souscrit à une cyber-assurance ;
–   La 3ème raison la plus citée concernant la non-souscription à une offre de cyber-assurance est le manque de compréhension et de clarté des risques qu’elle couvre.

Par voie de conséquence, pour se positionner sur ce marché, l’effort de sensibilisation est une dimension à prendre en compte. À ce titre, il est à noter que  la Direction Générale de la Gendarmerie Nationale, présente sur 95% du territoire français et donc plus proche  de l’ensemble des PME/TPE, peut jouer un rôle de relai.

Le marché français de la cyber-assurance

Un marché en retard par rapport à son homologue américain

En 2014, les primes d’assurances contre les cyber-attaques souscrites représentaient 2,5 milliards de dollars au niveau mondial, dont 2,2 milliards pour les seuls États-Unis et 165 millions pour l’ensemble de l’Europe.
Les assureurs anglo-saxons, forts de leurs retours d’expérience et d’une avance de 10 ans par rapport aux assureurs français, ont monopolisé le marché français, qui s’est lancé début 2012 avec une première police.

Le marché français est ainsi jeune mais semble lui aussi bien lancé et, selon certains souscripteurs, aurait doublé de taille chaque année depuis 2012.

Le cadre réglementaire, catalyseur de la croissance du marché français ?

L’évolution du cadre réglementaire a eu un très fort impact sur le marché de la cyber-assurance aux États-Unis et est considéré comme l’un des principaux facteurs de sa croissance.

Le même schéma d’évolution est imaginable (et espéré par les assureurs) pour le marché français, en particulier grâce :

Règlement européen  Au nouveau règlement eIDAS1 : obligation de notification
Le nouveau Règlement européen, dit eIDAS, relatif à l’identité électronique et aux services de confiance numérique sera applicable à partir du 1er juillet 2016.
De nombreuses entreprises auront l’obligation, conformément à eIDAS, de notifier l’Organe de Contrôle² des atteintes à la sécurité et des pertes d’intégrité, dans les meilleurs délais (en moins de 24 heures après la découverte de la faille de sécurité).
Elles auront également l’obligation de notifier sans délai les utilisateurs impactés (Article 19). Il y a donc nécessité de mettre en place des procédures relatives à cette gestion des notifications. Certaines offres de cyber-assurance incluent une garantie répondant à ce besoin.

   Au risque de sanctions non négligeables infligées par la DGPR3
Entrant en vigueur en 2017, le règlement général sur la protection des données va introduire de nouvelles obligations pour les entreprises et va considérablement modifier les conditions actuelles de stockage et de sécurisation des données. La peine encourue, en cas d’infraction, porterait sur une amende pouvant aller jusqu’à 4% du chiffre d’affaire annuel.

Ce cadre règlementaire permet une prise de conscience des risques et des moyens de s’en prémunir.

Assurabilité des cyber-risques

Les principes de base d’un risque assurable sont liés à un événement : aléatoire, probable, quantifiable, indépendant de l’assuré et licite.
Le cyber-risque est certes aléatoire et probable mais est-il quantifiable et est-il toujours licite ? Par ailleurs, compte-tenu de la courbe exponentielle des attaques, en nombre et en sévérité, quand est-il de la projection d’une probabilité de sinistralité ?

Difficulté de tarifer les risques et de définir les garanties appropriées

Plusieurs éléments rendent le cyber-risque difficilement quantifiable et l’estimation de l’indemnisation complexe, ce qui se traduit par un manque de maturité des offres :

   La difficulté de définir avec précision ce que recouvrent la notion assez large de cyber-risque et les responsabilités associées ;
   L’interdépendance des cyber-risques à cause de l’interconnexion complexe des systèmes d’information ;
   Le manque de données historiques sur la fréquence et l’intensité de ces risques (principalement lié à la réticence des entreprises à partager l’impact des cyber-attaques), ne permettant pas à l’assureur de définir une probabilité de survenance du sinistre ;
   La difficulté d’estimer le coût des pertes, en particulier en raison de dommages immatériels difficilement quantifiables (réputation, image…) ; ces pertes pouvant être irrémédiables pour des TPE/PME ;
   L’évolution rapide et continue des nouvelles technologies rendant imprévisible le risque encouru (cloud, objets connectés…) : les catégories de risques n’ont donc qu’une valeur limitée dans le temps ;
   La difficulté de prévoir et de quantifier les défaillances humaines et individuelles.

Ce qu’en dit le droit

Qu’en est-il de la licéité des risques couverts par la cyber-assurance ?

Par définition, la cyber-assurance, en tant que produit d’assurance ne peut couvrir les remboursements de sanctions pénales émises par un tribunal pénal, sous peine pour l’assureur d’être sujet à des sanctions pour mauvaise pratique commerciale.
Les autorités administratives indépendantes (AII) telles que la CNIL, l’AMF et l’ACPR émettent, elles, des sanctions administratives et non pénales. Une assurance peut-elle pour autant proposer des garanties  de remboursement des sanctions émises par la CNIL suite, par exemple, à des failles de sécurité causant la divulgation de données confidentielles des clients de l’entreprise assurée ?

Qu’en est-il également des garanties couvrant le remboursement de rançons demandées suite à une extorsion des données ou des systèmes de l’entreprise ? En effet, ce genre de garanties pourrait être considéré contraire à l’éthique car interprété comme une forme d’incitation à l’extorsion et au crime.

Des zones d’ombres persistent donc quant à la dimension légale de certaines garanties de cyber-assurance, et à l’assurabilité du cyber-risque en général. Une réflexion est donc à mener sur les changements que vont introduire les cyber-risques dans la nature des mécanismes assuranciels.

La cyber-assurance : vers un nouveau modèle d’assurance ?

Les offres de cyber-assurance aujourd’hui

Les produits de cyber-assurance existants se positionnent sur deux axes :

   Recouvrer les coûts liés à une attaque cybercriminelle ;

•   Restreindre l’impact de l’incident par un apport d’expertise qui permet de gagner en réactivité et en maîtrise grâce à l’intervention d’experts financés ou mobilisés par l’assureur, couvrant ainsi :

–   Les frais de justice (avocats, juristes…) ;
–   Les frais de notification (identification des clients impactés par le sinistre et notification) ;
–   Les frais de restauration/de préservation de l’image (gestion et communication de crise, restauration de l’image) ;
–   Souvent en options, les frais de surveillance (traçage des données volées) et les frais d’extorsion (négociations, rançons…).

Cependant, il est difficilement envisageable pour une cyber-assurance de couvrir des pertes immatérielles comme la chute du cours en bourse, la dégradation de l’image, la perte de confiance des clients et des partenaires…

Le montant des primes est en général défini à la suite d’audits à l’initiative de l’assureur, réalisés par des experts partenaires pour évaluer les risques de l’entreprise.

Nouveau positionnement de l’assureur : intervenir en prévention du risque

Les éléments d’assurabilité des cyber-risques conduisent donc à se demander s’il est pertinent, judicieux  et économiquement rentable pour l’assureur d’intervenir essentiellement après réalisation du sinistre ?

ServiceTypiquement, une cyber-attaque visant à détourner un avion ou à prendre le contrôle d’une voiture connectée peut causer des pertes humaines et financières dramatiques qui ne pourront être couvertes par aucune police d’assurance/réassurance/coassurance.

Compte-tenu de la particularité des cyber-risques, intervenir en aval du sinistre n’est pas suffisant. L’assureur peut envisager un autre modèle qui le positionne en gestionnaire de risques et proposer un accompagnement Cyber avec un service de préparation et de prévention adapté à la typologie de l’entreprise. En intervenant en amont, il pourra  d’accompagner ses clients, grâce à ses experts partenaires, réseau à constituer.

Une solution plus en rupture viserait à prévoir un dispositif de prévention sur-mesure, dispositif qui serait garanti. En cas d’attaque, une indemnisation et un accompagnement seraient alors déclenchés.

En conclusion, avec le recul du marché anglo-saxon, une croissance du marché de la cyber-assurance est plus que prévisible. Il est alors opportun de considérer le marché des TPE/PME comme potentiellement concerné, modulo l’effort de sensibilisation nécessaire. Enfin, dans la conception d’une proposition de valeur, le risque Cyber, par sa complexité à appréhender techniquement (au sens actuariel) serait un levier pour repenser différemment le modèle assurantiel.

image décryptage cyber assurance

**************************************************************************************************************************

¹ electronic Identification And Trust Services
² L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France ou le cas échéant la CNIL si l’incident concerne des données personnelles
³ Direction Générale de la Prévention des Risques