La vague de cyberattaques qui a frappé le monde en maijuin 2017 a montré aux entreprises, s’il en était encore besoin, à la fois la nécessité de prendre en compte le risque cyber, et donc de l’assurer au même titre que les autres risques auxquels elles sont confrontées, mais également les difficultés d’appréhension de cette dimension au niveau de l’assurance.
Des cyberattaques en plein développement
La cyberattaque WannaCry en mai dernier a donné une idée de la puissance que pouvait avoir une attaque virale au niveau mondial : plus de 170 pays concernés, près de 400 000 machines touchées, dans des secteurs aussi différents que le système hospitalier, l’industrie automobile, le transport ferroviaire, les universités, les télécommunications, le transport maritime… Un coût de plus de 1 milliard de dollars pour l’ensemble des entreprises touchées. En France, la fermeture pendant plusieurs jours de l’usine Renault de Douai, mettant au chômage technique les 3.500 salariés du site, a été le symbole des ravages de ce ransomware qui a fait le tour du monde.
WannaCry/Petya/NotPetya ont été en 2017 la partie émergée de l’iceberg des cyberattaques qui aujourd’hui sont de plus en plus nombreuses. Le nombre de cyberattaques recensées en 2015 a ainsi progressé de 38 % dans le monde par rapport à 2014, et de 51 % en ce qui concerne la France. En 2016, selon Kaspersky Lab c’est 758 millions de cyberattaques qui ont été lancées à travers le monde. Si l’on ne prend que le phénomène des rançongiciels, celui-ci explose littéralement : en 2016, 193 nouvelles familles de rançongiciels ont été découvertes d’après l’étude « The State of Cyber Security 2017 » de F-Secure, contre 35 en 2015 et 13 en 2014.
Les cyberattaques entraînent des coûts directs et indirects qui, s’ils sont difficiles à appréhender, vont bien au-delà des conséquences immédiates des attaques : parmi les coûts financiers les plus connus figurent notamment les frais de sécurisation des données clients après l’incident, ceux de la mise en conformité réglementaire, les honoraires des avocats ainsi que les frais de justice, l’amélioration des dispositifs préventifs de cybersécurité, ou encore le coût des enquêtes techniques ; concernant les coûts indirects, la partie immergée des dommages, on peut lister l’augmentation des primes d’assurance, du coût de la dette, les impacts dus à la perturbation ou à l’interruption des activités, l’érosion du chiffre d’affaires liée à la perte de contrats, ou encore dépréciation de la valeur de la marque, l’impact en termes d’image et l’atteinte du « capital confiance »…
Face à ces enjeux, les budgets de cybersécurité des entreprises ont significativement augmenté. Selon une étude du cabinet Gartner, le marché de le sécurité informatique a augmenté de 7,9% entre 2015 et 2016 pour atteindre 81,6 milliards de dollars. Il pourrait même atteindre 120 milliards de dollars en 2017, et devrait atteindre entre 130 et 170 milliards de dollars d’ici 2020 selon les projections, contre 3,5 milliards en 2004, selon le cabinet CyberSecurityVentures, soit un chiffre multiplié par 35 en 13 ans. Dans la même optique de se prémunir, les entreprises commencent à s’intéresser à la cyberassurance. Au niveau mondial, le marché de la cyberassurance représenterait environ 3,5 milliards de dollars, dont plus de 80% aux Etats-Unis. Il pourrait atteindre 8,5 à 10 milliards de dollars d’ici 2020, selon des projections avancées par Munich Ré.
Peu d’entreprises encore assurées contre le risque cyber
Force est néanmoins de constater que peu d’entreprises sont aujourd’hui assurées contre le risque cyber.
D’après une étude du Lloyds, 50 % des dirigeants européens d’entreprises ayant un CA de plus de 250 millions d’euros ne connaissent pas les solutions proposées par les assurances contre les cyberattaques, alors même que 92 % des entreprises européennes étudiées mentionnent avoir été victimes d’une cyber intrusion. Une étude de Marsh France quant à elle montre qu’entre 60% et 70% des groupes du CAC 40, 40% des entreprises du SBF 120 et seulement 2% à 3% des PME françaises seraient assurées contre le risque cyber. L’étude du Lloyds révèle aussi que, malgré son haut potentiel de croissance, la demande en cyberassurance reste limitée. Deux facteurs peuvent expliquer ce peu d’appétence des entreprises. Tout d’abord la sous-évaluation par les entreprises des risques cyber qu’elles encourent. De nombreux chefs d’entreprises pensent en effet qu’ils « n’ont rien à protéger » sans penser aux différents éléments qui constituent la chaîne de valeur de leur activité et qui représentent des cibles pour des cyberattaques : recherche et développement, données commerciales, plan stratégique, ressources humaines… et ce quel que soit leur secteur d’activité. Sans compter dans le secteur industriel l’ensemble de la chaîne de production. Autre élément qui explique également ce marché peu développé de la cyberassurance : une offre de la part des assureurs qui ne répond pas aux besoins des clients en matière d’attaques cyber, et ne couvre pas forcément leurs risques, les conséquences d’une attaque via le cyberespace étant beaucoup plus compliquées à appréhender et donc à chiffrer.
Cette désaffection est d’autant plus étonnante que les conditions tarifaires des offres d’assurance aujourd’hui proposées en Europe sont stables et restent encore globalement favorables aux entreprises : pour s’assurer contre le risque cyber aujourd’hui, il en coûterait entre 0,5% et 1% de la capacité achetée (pour une garantie de 25 millions d’euros, la prime d’assurance s’élève ainsi à 250 000 euros maximum). Néanmoins, la vague d’attaques de maijuin 2017 a vu les primes d’assurance considérablement augmenter aux Etats- Unis, phénomène qui devrait à terme également toucher l’Europe.
Il est cependant clair que l’intérêt pour la cyberassurance a été clairement renforcé avec WannaCry/Petya/NotPetya. Ainsi, au Danemark, Tryg, plus gros assureur du pays, a vu une explosion des souscriptions à son offre de cyberassurance après les vagues d’attaques informatiques du mois de juin. L’entreprise prévoit ainsi, d’ici 2020, que 90% de ses clients souscriront à cette assurance contre les risques cyber, au même titre qu’ils souscrivent à des assurances contre les risques naturels (incendie, inondation, tempêtes, etc). De la même façon, le renforcement du cadre réglementaire européen sur la sécurité numérique devrait être un levier d’intérêt important pour la cyberassurance : en forçant les entreprises victimes d’une cyberattaque ayant entraîné un vol de données personnelles, à déclarer l’incident avec la communication afférente à laquelle elles seront contraintes, le Règlement Général sur la Protection des Données entraînera de fait une augmentation de la visibilité de ces incidents… et du nombre de sinistres à indemniser.
Une offre difficile à construire
Définir et tarifer les offres de cyberassurance reste difficile, et ce pour plusieurs facteurs.
Les assurances n’ont pas aujourd’hui le recul suffisant sur les sinistres et les impacts financiers des cyberattaques, contrairement à ce que l’on peut observer pour les risques naturels. Les entreprises font en outre preuve d’une très grande frilosité pour communiquer sur l’impact des cyberattaques subies, pour des raisons commerciales, ou par peur d’attenter à leur réputation, auprès de leurs clients notamment, avec le risque de baisse de la valeur de leur action lorsqu’elles sont cotées en Bourse. Il est donc compliqué d’évaluer aujourd’hui exactement le niveau de perméabilité des entreprises aux cyberattaques.
L’évolution constante et rapide des nouvelles technologies et donc des vulnérabilités, complique encore davantage cette estimation du niveau des risques encourus. Pour résoudre cette difficulté, il serait indispensable de mettre en place une veille permanente au sujet des risques cyber, des attaques informatiques, des exploits et des stratégies utilisés par les attaquants… et peu d’entreprises le font encore aujourd’hui.
Il est également fondamental de ne pas oublier que les conséquences d’un risque cyber varient d’une organisation à l’autre, d’un système à un autre : la modélisation du risque cyber ne peut ainsi se contenter d’un modèle unique, et doit être adaptée à chaque structure.
Enfin le risque cyber est un risque systémique. On a pu le voir à l’occasion des grandes vagues d’attaques informatiques de mai et juin 2017, où la viralité entraîne de fait des conséquences démultipliées au niveau des organisations… ce qui va à l’encontre du principe même de l’assurance, à savoir le principe de répartition qui fonde l’équilibre économique du secteur. Lors de la vague de cyberattaques mondiales de mai-juin 2017, l’une des questions qui avait été soulevée était de savoir si le marché de l’assurance disposait des capitaux nécessaires pour gérer ce type d’attaques : heureusement pour les assureurs, toutes les entreprises touchées ne disposaient pas de cyberassurance…
Afin de couvrir le risque cyber, il est donc indispensable pour les professionnels de l’assurance de changer de paradigme pour penser le risque cyber de manière différente du risque naturel, et offrir des solutions adaptées. C’est d’ailleurs ce point fondamental qui explique que les offres de cyberassurance sont souvent le fait d’associations entre professionnels de l’assurance et professionnels de la cybersécurité. La cyberassurance nécessite ainsi de définir des critères novateurs d’évaluation du risque, avec un suivi constant de l’évolution de ce dernier par rapport à l’évolution des technologies et des schémas des cyberattaques, en s’appuyant sur les experts indispensables pour réaliser des audits réguliers qui devront être prévus dans les contrats d’assurance – avec cette difficulté du peu de ressources humaines spécialisées en cybersécurité encore en France. Mais une cyberassurance efficace se doit aussi de penser au-delà du technique, en suscitant par exemple des campagnes de sensibilisation interne au risque cyber : « le maillon faible de la cybersécurité est entre le clavier et la chaise ».
Sortir du cadre traditionnel de l’évaluation du risque, mettre en place des outils pour suivre l’évolution de l’écosystème cyber et donc mieux appréhender les risques liés au cyberespace, penser technique mais aussi « dimension humaine » … constituent des éléments d’appréhension complexes du risque cyber et de sa couverture et nécessitent des moyens.
Le développement du marché de la réassurance pourrait également être une piste intéressante pour favoriser le développement d’offres d’assurance cyber diversifiées. Le fait de transférer le risque aux réassureurs permettra aux assureurs principaux de mieux maitriser l’impact d’une cyberattaque et de partager les coûts éventuels. A l’instar du réassureur allemand Swiss Re, qui a annoncé le 1er septembre 2016 la mise en service sur le marché allemand de solutions adaptées au cyber risque, les principaux réassureurs de la place devraient se positionner sur des solutions préventives, avec des solutions de formations spécifiques, l’accompagnement à des stress tests réguliers, et des offres mieux adaptées aux entreprises.
La cyberassurance représente aujourd’hui un marché stratégique pour les assureurs, impliquant de proposer aux assurés d’un côté un contrat d’assurance couvrant les dommages subis avec une appréhension de l’ensemble des dommages subis, ce qui reste compliqué à définir en termes de critères, et de l’autre un accompagnement sur mesure en ingénierie. Elle constitue également un levier fondamental au niveau de la sécurité globale de la Nation en entraînant de fait pour les organisations assurées des démarches de renforcement de leur cybersécurité, que ce soit au niveau des éléments techniques mis en place, des politiques de sensibilisation interne, ou enfin la réalisation d’audits réguliers. A terme, on pourrait aller jusqu’à imaginer un refus d’assurer les entreprises pour leur risque cyber si les mesures mises en oeuvre n’étaient pas assez développées ou insuffisantes en matière de garanties de sécurité. Un levier indéniable pour la cybersécurité au vu du nombre croissant des cyberattaques.
Bénédicte Pilliet
Directrice du CyberCercle
www.cybercercle.com