La cybercriminalité ne connait pas la crise : en nombre croissant, les attaques informatiques sont également plus sophistiquées et plus dommageables pour leurs victimes. Dans ce contexte, les assureurs doivent élaborer des offres adaptées pour couvrir ce risque, en trouvant des mécanismes de protection innovants.
Avec la multiplication des cyberattaques, les entreprises sont confrontées à différents niveaux de risque. Rien de commun en effet entre une intrusion de basse intensité qui pourra être réglée par l’équipe informatique en quelques heures sans dommage notable et une cyberattaque majeure qui paralyse totalement des milliers d’entreprises et présente une menace pour leur pérennité. Si l’éventail de la menace apparait ouvert, les parades déployées doivent l’être tout autant. En amont, la prévention semble avoir fait de réels progrès : l’époque où régnait une totale naïveté face aux menaces informatiques semble révolue. A l’ère du tout numérique et des applications Web omniprésentes, la majorité des chefs d’entreprises comme des responsables d’administration ont pris conscience de leur vulnérabilité : ils ont en conséquence sécurisé leur réseau informatique et mis en place des plans de continuité d’activité.
Un risque de cyberattaque accru qui reste peu couvert
Malgré le déploiement de ces premières protections, la probabilité d’être victime d’une cyberattaque majeure ne cesse de croitre. Les assureurs sont parfaitement conscients de cette situation : dans un rapport sur les risques futurs dévoilé par Axa, ceux qui relèvent de la cybersécurité pointent à la deuxième position des menaces les plus inquiétantes répertoriées par un aéropage de 3.500 experts de toutes nationalités, derrière le changement climatique. De grandes entreprises françaises en ont fait les frais ces derniers mois, comme Bouygues Construction, MMA ou encore Sopra Steria, qui aurait perdu 40 millions d’euros dans l’attaque, pour ne citer qu’elles. Durant l’année 2020, le Parquet de Paris a été saisi à 397 reprises pour des affaires de « rançongiciels » ! Car si les organisations sécurisent leur réseau, les hackers savent aussi innover et s’adapter aux protections développées. Il n’existe pas de réseau infaillible, de sorte qu’il faut apprendre à vivre en se sachant vulnérable. L’assurance intervient donc dans cette chaine protectrice en contribuant au succès du plan de continuité d’activité qui doit être implémenté en cas de survenu d’un dommage. Pourtant, le taux d’assurance contre les risques cyber s’avère inégal : si 87% des grandes entreprises ont souscrit une couverture, les entreprises de taille intermédiaire (ETI), les PME et les collectivités publiques sont nettement moins protégées selon une étude de l’Association pour le management des risques et des assurances de l'entreprise (Amrae)(1).Autre source de préoccupation : le niveau d’assurance souscrit peut ne pas correspondre au montant des dégâts financiers susceptibles d’être causés par une cyberattaque. En d’autres termes, même lorsque la menace est identifiée, son dommage potentiel reste largement sous-estimé.
La difficile évaluation du risque cyber
Pourtant le marché de l’assurance cyber semble prometteur : il a triplé en 5 ans, pour peser 130 millions d’euros de primes en 2020 ! Mais cette croissance du chiffre d’affaires masque la difficile évaluation du montant des préjudices à indemniser, les assureurs s’inquiétant légitimement de leur exposition à des risques difficiles à estimer. Seule certitude : les dommages infligés par les cyberattaques ne cessent d’augmenter. En 2020, plusieurs sinistres ont dépassé allègrement la barre des 10 millions d’euros d’indemnisation. Résultat : le ratio sinistre sur primes connait une évolution très défavorable pour les assureurs. Dès lors les cotisations s’inscrivent à la hausse, tout comme le montant des franchises. Parallèlement, les restrictions d’assurance se multiplient : elles concernent notamment les pannes chez l’assuré ou son prestataire informatique, ainsi que les erreurs humaines. Derrière cette politique, transparait la difficulté d’évaluer finement le cyber risque et la crainte de faire face à des engagements non maîtrisés. Dès lors les assureurs se posent la légitime question des limites à apporter à leur couverture. Une situation préoccupante car garantir le cyber risque apparait comme une nécessité, une attaque de grande intensité aux conséquences micro comme macro-économiques dévastatrices ne pouvant être exclue.
Améliorer la connaissance de la menace cyber
Conscient de ces enjeux, le ministère de l'Economie et des Finances a créé un groupe de travail qui doit dévoiler début 2022 ses préconisations pour améliorer l’assurance du risque cyber. Sans préjuger de ses conclusions, quelques évidences s’imposent. Trouver des solutions à ce risque potentiellement systémique suppose d’obtenir une meilleure appréhension de la réalité de la menace. Pour cela, les entreprises comme les administrations publiques doivent être incitées à remonter les attaques dont elles sont victimes, en fournissant des détails sur leur nature et les préjudices causés. On sait que cette information peut porter atteinte à l’image de l’organisation attaquée, il faut donc envisager de traiter ces données dans un cadre confidentiel et protégé. Disposant d’un tableau exhaustif et actualisé de la menace cyber, les assureurs pourraient alors proposer des offres plus protectrices, susceptibles d’être souscrites par suffisamment d’entreprises pour offrir une réelle mutualisation du risque.
L’Etat doit jouer son rôle
Mais ceci pourrait de ne pas suffire en cas d’incident majeur. Face à cette perspective, Axa milite pour une réponse public/privé, à l’image de ce qui est fait pour la gestion des catastrophes naturelles. Sur les événements de haute intensité, un mécanisme de réassurance impliquant l’Etat pourrait effectivement être mis en place, limitant ainsi la frilosité des assureurs dont l’exposition serait limitée. Les pouvoirs publics peuvent également renforcer la sensibilisation des PME/TPE en les invitant à se couvrir, parallèlement aux actions des assureurs qui peuvent faire de leurs agents généraux des ambassadeurs de la sécurité informatique.
Ainsi l’assurance jouera pleinement son rôle dans la protection et l’indemnisation du risque cyber. De quoi évoluer dans le monde digital avec plus de sérénité.