Kadmy - Fotolia

Cyberassurance : des origines d’une crise… aux pistes pour la surmonter

L’assurance des risques cyber est en crise. Les perspectives à court terme peuvent paraître sombres, mais les pistes de transformation du marché ne sont pas inexistantes, sur tous les segments. Regards croisés de trois experts.

Il ne fait de doute pour personne que la cyberassurance sera l’un des sujets marquants des rencontres de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) qui viennent de s’ouvrir à Deauville.

De fait, les principaux voyants sont au rouge. Pour Olivier Wild, président de l’Amrae, « le marché de la cyberassurance n’existera peut-être plus l’an prochain ». Une petite bombe lâchée début janvier à nos confrères de CIO-Online.

Non pas que le risque cyber ne soit pas là. Fin janvier, nos confrères de La Tribune relevaient ainsi que la cartographie prospective 2022 des risques, élaborée par les experts de France Assureurs, plaçait le risque cyber parmi les trois principaux identifiés, à cinq ans. S’il fallait se convaincre de la pertinence de ces analyses, les chiffres des cyberattaques avec ransomware suffiraient probablement.

Où en est la cyberassurance ?

Pour y voir plus clair, nous avons interrogé trois experts du domaine. Faute d’autorisation de leur direction, deux d’entre eux ont souhaité rester anonymes. Nous les appellerons Jean, et Pierre, pour faciliter la lecture.

Jean appréhende les déclarations avec un peu de distance. Pour lui, « il y a un peu de cinéma dans les déclarations actuelles des uns et des autres ». Pourquoi ? Parce que « le risque cyber, compris comme l’assurance de dommages immatériels en cas d’attaque, ne peut pas, compte tenu des engagements totaux, menacer le marché global de l’assurance ».

Alors pour Jean la question qui se pose est celle « de la disparition de l’assurance des risques cyber au périmètre actuel ». Et d’appréhender le commentaire d’Olivier Wild à nos confrères comme « une façon de dire “messieurs les assureurs, on fera donc sans vous” ». Ce qui revient, pour Jean, à « remettre un peu d’équilibre dans les négociations, aujourd’hui perçues comme trop favorables aux assureurs ».

L’expert estime que la dramatisation vient surtout des « deux acteurs historiques AIG et Chubb qui ont pris des grosses claques depuis 2020 » et dont « les actionnaires commencent sûrement à en avoir un peu marre ». Au-delà, estime-t-il, « les autres suivent ; certains en essayant d’en profiter avec malice ».

De son côté, Arnaud Gressel, fondateur et PDG de Resco Courtage, ne croit « pas un instant que l’assurance cyber disparaisse. Il me semble au contraire que la crise actuelle renforce le besoin d’assurance, et que les dirigeants prennent de plus en plus conscience de la nécessité d’être couverts sur ce risque ».

Une conjoncture marquée par les crises

« Les vagues de cyberattaques de 2017 avec Wanacry et NotPetya ont mis en lumière le danger cyber, et le RGPD n’a fait que renforcer la sensibilisation à la cybersécurité ».
Arnaud GlesselFondateur et PDG, Resco Courtage

Arnaud Gressel relève que le marché de la cyberassurance a véritablement commencé à se développer en France depuis 2016/2017. Historiquement, « les premiers à s’assurer étaient principalement les grands comptes ».

Pour Pierre, l’intérêt pour la cyberassurance apparaît surtout dans le contexte du RGPD. De nombreux assureurs y ont vu « un nouveau produit, une opportunité. Ils se sont rués là-dessus ».

Arnaud Gressel ne dit pas le contraire : « les vagues de cyberattaques de 2017 avec Wanacry et NotPetya ont mis en lumière le danger cyber, et le RGPD n’a fait que renforcer la sensibilisation à la cybersécurité ».

Ce contexte a, pour lui, « favorisé le développement des offres assurances cyber (essentiellement anglo-saxonnes) intégrant assistance et assurance. D’autant qu’à partir de là, les assureurs ont exclu les risques cyber des offres qui n’avaient pas pour vocation à porter ce risque (assurance dommages et assurance responsabilité civile) ».

Selon Arnaud Gressel, « les assureurs avaient des marges très rentables jusqu’à la crise COVID. Ils étaient même dans une compétition saine, offrant de bons niveaux de garantie, à des prix attractifs (voire trop bas ?), rivalisant d’ingéniosité pour développer des modules de prévention et formation pour différencier les offres ».

Un engouement quelque peu imprudent

Mais voilà, « la crise COVID est venue bouleverser le contexte et le marché de l’assurance cyber ». Pour Pierre, cela remonte même à plus tôt : « le marché s’est dégradé en 2019 ». Mais que s’est-il passé ?

Pour Pierre, ceux qui se sont engouffrés dans l’opportunité « ont fait comme d’habitude, en établissant des primes pour récupérer des parts de marché ». Las, « il y avait une grande méconnaissance du risque cyber ». Jean ne dit pas autre chose : « de manière générale, la compréhension des risques et des enjeux reste trop limitée dans les directions d’assureurs ». Pierre est encore moins tendre : « on a oublié qu’en face de l’assurance, il y a un risque ». Et l’estimation du risque était surtout centrée sur celui des fuites de données : « la menace des ransomwares n’avait pas été anticipée ». Et elle s’est concrétisée par des sinistres de plus en plus onéreux.

Pour Arnaud Gressel, « les assureurs sont tous désormais confrontés à une forte, voire trop forte sinistralité ».

Un marché loin d’être homogène

Pour mieux comprendre la situation, il convient d’adopter un regard nuancé suivant les segments de marché. Sur les TPE et PME, tout d’abord, Arnaud Gressel juge qu’il y a « un risque de fréquence trop élevée. Et même si les coûts sont contenus souvent à l’assistance et aux frais consécutifs, cela fait vite quelques dizaines de milliers d’euros. En contrepartie de primes d’assurance jugées basses (entre 500 et 2 000 €) ».

Pour Jean, sur ce segment, il n’y a encore que « peu d’attaques dans nos (petits) portefeuilles ; ça monte, mais pas énormément, même si les sinistres sont plus coûteux, car il s’agit plus souvent des ransomwares ».

Du côté des grands comptes, selon lui, « les attaques sont plutôt à la baisse et plus souvent stoppées rapidement ». L’analyse d’Arnaud Gressel n’est guère différente. Pour lui, là, « la problématique est que les niveaux de garantie en millions d’euros sont très vite atteints ».

Jean souligne également un autre segment, particulièrement spécifique : celui des entreprises de services numériques (ESN). Là, le sujet semble être moins celui de la cyberassurance que de la responsabilité civile : « ce marché est également tendu. C’est lié à la sensibilité de l’activité aux données informatiques. Cela ne baissera pas évidemment ; on n’en parle pas encore beaucoup, mais ce sera inévitablement un sujet d’actualité ».

Une contraction des garanties à court terme

Les premières conséquences ont déjà été observées par certains assurés. Arnaud Gressel résume : « il ne sera plus possible d’assurer des entreprises ou des collectivités aux mêmes conditions d’avant COVID, avec surtout si peu d’informations sur le niveau de protection et d’organisation en place ».

D’où la combinaison suivante : « hausse des primes, baisses des garanties, hausse des franchises. Mais surtout, une hausse forte, voire très forte (sur les grosses PME, ETI et Grands Comptes) des exigences en matière de protection du risque ». Pierre ne dit pas autre chose, constatant également la « contraction des capacités sur les grands risques ».

Cela ne vaut toutefois pas pour les TPE et petites PME, selon Arnaud Gressel : « celles-ci peuvent encore s’assurer assez facilement, pour des prix tout à fait abordables. C’est notre quotidien ».

Et un marché médian qui concentre les difficultés

Nos experts identifient le même segment de marché particulièrement problématique : celui, médian, des grosses PME et des ETI. Pour Jean, « elles posent un gros problème. Elles ne sont pas bien préparées et protégées, et plus attractives pour les attaquants que les TPE/PME ». Même constat pour Pierre : « là, les entreprises ont sous-estimé l’impact de la transformation numérique, voire ne l’ont pas imaginé ». Du coup, sur ce segment, « on se retrouve à avoir trop de sinistres » ; « on a un problème de qualité de risque ».

Mais pour Arnaud Gressel, cette situation, avec notamment l’émergence d’exigences relevées en matière de posture de sécurité minimale, induit un effet pervers : « cela devient discriminant. Toutes les organisations ne peuvent plus s’assurer, ni même conserver leur couverture d’assurance ». Au point que, selon lui, « il y a eu un nombre conséquent de résiliations par les assureurs lors du dernier renouvellement de janvier 2022 ». Et Pierre d’ajouter : « les assurés et les courtiers ne comprennent pas que l’on refuse sur la base d’exigences minimales, mais pour l’assureur, le risque est devenu trop grand ».

Quelles pistes, donc ?

« Il faut développer les démarches volontaires et vertueuses en premier lieu : sécuriser le SI et les données, valoriser la formation et les actions de prévention, adapter son organisation. »
Arnaud GlesselFondateur et PDG, Resco Courtage

Le monde de la cyberassurance se retrouve donc à se priver d’un relais de croissance potentiellement important. Face à cela, Arnaud Gressel ne croît pas à une éventuelle obligation d’assurance cyber : « ce serait catastrophique et cela irait à l’encontre du nécessaire renforcement de la cybersécurité des organisations ». En outre, « les clients paieraient des primes parce qu’obligatoirement assurés, mais ne seraient pas toujours indemnisés en cas de sinistre du fait du non-respect des exigences ».

Alors pour lui, « il faut développer les démarches volontaires et vertueuses en premier lieu : sécuriser le SI et les données, valoriser la formation et les actions de prévention, adapter son organisation. Et impliquer l’assurance dans la réflexion globale de la sécurité de l’entreprise. D’autant que c’est un maillon essentiel du système de réponse à incident. »

Pierre le rappelle : « l’informatique est au cœur de tout aujourd’hui ». Dès lors, faire évoluer les pratiques de sécurité apparaît inévitable. Pour les TPE et petites PME, Arnaud Gressel estime que « mettre en place des solutions de sauvegarde, avoir une politique de mot de passe voire installer du MFA, c’est faisable ». De leur côté, les grosses PME, les ETI et les grands comptes « n’ont pas d’autre choix qu’investir fortement en cybersécurité. Et tant qu’elles ne seront pas au bon niveau, elles resteront leur propre assureur, ou n’obtiendront que des conditions d’assurance dégradées ».

Des pressions multiples

Et Arnaud Gressel d’observer également des tendances, potentiellement vertueuses. Tout d’abord, « l’obligation contractuelle de s’assurer contre les risques cyber (exigée par un fournisseur, lors d’une levée de fonds…). Cette pression sur l’entreprise lui impose de faire le nécessaire pour être “assurable” en termes de cybersécurité ».

Vient ensuite « la pression sur le dirigeant et son patrimoine. C’est d’ailleurs évoqué dans le rapport du Sénat de juin 2021. Le dirigeant met en cause sa responsabilité personnelle s’il n’anticipe pas assez le risque cyber. Et donc si probablement il ne s’assure pas contre ce risque. La jurisprudence sera à suivre avec attention ».

Pour le courtier, « ces tendances vont concourir à renforcer la demande qui est encore trop faible. Ce qui mécaniquement contribuera à développer le marché ». Lequel reste marqué par un niveau très faible d’assurance de certaines catégories d’entreprises.

L’émergence de nouvelles offres ?

Jean ne cache pas ses réserves quant aux offres construites à partir d’une évaluation plus ou moins technique de la posture de sécurité des entreprises : « Stoïk, comme Citalid ou d’autres, c’est un peu de la boîte noire ; tout dépend de la pertinence de ce qu’il y a dans la boîte noire ».

Pour Pierre, peu importe l’approche : « la maturité des entreprises est insuffisante pour que l’on puisse assurer tout le monde. On le reproche aux assureurs ; mais il n’y a pas d’autre choix que de faire une sélection. Mais ces nouvelles entreprises comme Stoïk ont un modèle basé sur la sélection. Et je pense qu’ils ont raison. La sélection de risque est le seul avenir de l’assurance cyber ».

Pour Arnaud Gressel, « les offres d’assurance vont devoir évoluer et d’adapter ». Lui indique croire « beaucoup aux offres hybrides. D’autres verront le jour, les acteurs de la cybersécurité l’ont bien compris […] Il va y avoir de belles alliances à réaliser en matière de synergie des compétences ».

Et de rappeler : « l’assurance n’a vocation qu’à couvrir un aléa, pas un risque certain ». Dès lors, pour lui, une partie de la solution est également ailleurs : « il faut une volonté politique très forte et une coopération internationale efficace pour réduire très significativement le niveau de la menace ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close