Lucien Mounier, Beazley : pour WannaCry, « ça aurait pu être pire »

L’assureur Beazley collecte annuellement 2 Md$ de primes. Historiquement très présent aux Etats-Unis, il se développe en Europe. La couverture des risques cyber représente entre 15 et 20 % de son activité. Depuis le lancement de son offre en la matière en 2009, il est intervenu dans plus de 5 000 sinistres. Mais le volume de sinistres traités progresse régulièrement : environ 800 pour le seul premier trimestre 2017. Lucien Mounier, souscripteur chez Beazley, relève que cette croissance n’est pas linéairement corrélée avec celle de son nombre d’assureurs : « la sinistralité progresse depuis un ou deux ans, notamment avec les rançongiciels, où les sinistres liés à des menaces sont fortement représentés dans les TPE/PME ».

LeMagIT : L’assurance du risque cyber n’est-elle pas entrée dans une zone dangereuse, avec une croissance de nombre d’assurés, mais dans le même temps une progression plus rapide de la sinistralité ?

Lucien Mounier : L’expérience accumulée depuis plusieurs années et notre portefeuille nous permettent d’absorber les sinistres. C’est le métier de l’assureur : mutualiser les risques de l’ensemble des assurés pour pouvoir indemniser ceux qui sont malchanceux.

Notre portefeuille assez important, soutenu par la base américaine, nous permet de nous développer en Europe et dans le reste du monde.

Je le vois comme un avantage par rapport à quelqu’un qui commencerait de zéro. Il serait plus complexe, je pense, pour un assureur européen qui n’a pas eu l’expérience d’un autre territoire, de se lancer dans ce domaine.  

Et nous faisons attention à nos expositions. Par exemple, vis-à-vis de la dépendance de X de nos assurés à un même prestataire d’hébergement. Ce sont des points d’accumulation que l’on surveille pour justement être en mesure d’indemniser nos assurés en cas d’incident majeur. Et ça, c’est l’une des clés de notre métier.

Le monde de l’assurance n’a-t-il pas eu de la chance que WannaCry soit un échec et que le nombre d’assurés soit encore relativement faible ?

Clairement, ça aurait pu être pire. Mais l’incident aide à la prise de conscience des entreprises. Dans notre portefeuille, l’impact a été relativement limité. Si l’on s’était trouvé dans le cas de figure d’un scénario pandémique, cela aurait eu un impact, mais c’est notre métier.

On peut d’ailleurs aussi imaginer le cas d’un grand hébergeur de ce monde frappé par une attaque massive en déni de service, à une telle échelle qu’il ne parvienne pas à résister. Ou d’une APT qui frappe un Google ou un Amazon, par exemple. Là aussi, il peut y avoir une dimension systémique. C’est pour cela que l’on fait attention à nos engagements et aux points d’accumulation entre nos assurés.

En prenant l’exemple de TV5 Monde, des équipes de l’Anssi ont encore souligné la mauvaise posture de sécurité moyenne des entreprises en France. Comment s’assurer que ses souscripteurs présentent un profil raisonnablement sain ?

D’abord, on étudie l’activité de l’entreprise, sa taille, et sa maturité aux grands principes de sécurité informatique. Selon la taille de l’entreprise, on procède différemment, mais globalement on s’intéresse aux mesures de gouvernance et aux mesures opérationnelles en vigueur pour essayer de réduire le risque.

Pour une TPE/PME, on va souvent avoir tendance à procéder à cette analyse au travers de quelques questions clés – existe-t-il un PSSI ? Les contrats d’externalisation négociés rigoureusement ? Les données sensibles sont-elles chiffrées ?

Certes, dans les PME, on se retrouve globalement devant des personnes avec une maturité très faible. Mais il serait mauvais de ne pas pouvoir donner accès à l’assurance à ces publics, parce qu’ils en ont besoin. Et ça aussi fait partie de notre métier, en tant qu’assureur, d’accepter des risques parfois plus élevés que d’autres et de communiquer avec les entreprises pour que leur maturité évolue. On est là aussi pour accompagner nos assurés.

Plus grandes entreprises, on s’appuie sur des entretiens où l’on échange de manière ouverte entre souscripteur, RSSI, responsable juridique, de la gestion des risques, etc. Sur les processus, sur les solutions de sécurité mises en place. Et l’on s’appliquer à évaluer la maturité sur cette base.

Et les entreprises que vous rencontrez vous apparaissent-elles préparées à gérer des incidents de sécurité ?

Les grands groupes ont généralement des processus en place pour cela. Mais ce n’est pas le cas des PME/TPE en général. D’où le besoin de les accompagner. Car leur objectif est clair : reprendre au plus vite son activité avec un impact aussi limité que possible sur sa réputation, son image et son chiffre d’affaires.

On a donc intégré à nos offres ce volet assistance, accompagnement à la gestion de crise. Ça nous paraît clé aujourd’hui avec des sujets bêtes et méchants comme les ransomwares, mais aussi, sinon plus, demain avec les exigences de notification du nouveau règlement européen de protection des données. Ce seront des sujets complexes à gérer pour beaucoup d’entreprises.

Pour ce service, nous avons mis en place un premier point de contact avec un cabinet d’avocat spécialiste de la gestion et de la coordination de la crise. C’est lui qui débloque l’expertise, en sécurité informatique, en communication de crise. Pour la sécurité informatique, en France, on va trouver par exemple Wavestone, et KPMG.