Assurance des risques cyber : un marché en construction

Les cyber-risques menacent désormais et pour longtemps l’ensemble des acteurs économiques d’un monde globalisé. D’abord parce qu’ils font disparaître les notions d’espace et de temps ; ensuite, parce qu’ils permettent, à une échelle inconnue jusqu’alors, des comportements d’espionnage, de malveillance, de criminalité ou de déstabilisation politique. C’est donc bien d’une sorte de guerre numérique qu’il convient de parler. Et comme pour toutes les guerres, si l’on veut s’en préserver, il faut s’y préparer. Malheur à ceux qui attendront trop.

Selon Guillaume Poupard, directeur général de l’ANSSI [1] , « le risque cyber est inhérent à notre société, il a un caractère global et fait peser sur notre économie la menace d’un Pearl Harbour informatique ». C’est au début des années 2000 que ce risque a surgi aux États-Unis avec les premiers virus de masse qu’ont été « Melissa » en 1999 et « I Love you » en 2000, qui ont infecté des millions d’ordinateurs via des pièces jointes à des e-mails. Le 1er juillet 2003, à la suite de la violation de données personnelles de fonctionnaires de l’État de Californie, une loi californienne a imposé aux structures qui conservent des informations personnelles de tiers, d'informer ces derniers en cas de faille de sécurité concernant leurs données. Ces contraintes ont conduit les grandes entreprises anglo-saxonnes et celles spécialisées dans le traitement des données à se tourner vers l’assurance, pour lui transférer les conséquences dommageables de ces risques cyber.

Un marché de l’assurance cyber encore peu développé

Ces phénomènes sont apparus en France une dizaine d’années plus tard. Au printemps 2017, « Wannacry » et « NotPetya » ont démontré toute l’étendue et la force de ces nouveaux types d’attaques. Quelques heures seulement après sa première apparition en Ukraine, le ver NotPetya s’est propagé à l’ensemble de la planète provoquant d’importants dommages à de nombreuses multinationales, tels le transporteur Maersk (300 millions de dollars de dommages), l’entreprise pharmaceutique Merck (870 millions de dollars) et, chez nous, l’industriel Saint-Gobain (384 millions de dollars). Selon une évaluation de la Maison Blanche, le coût des dommages de cette attaque s’élèverait à plusieurs milliards de dollars.

Et pourtant, malgré ces enjeux majeurs pour les entreprises, le marché de l’assurance cyber n’est pas encore mature. L’écart est considérable entre la conscience du danger et les moyens investis pour s’en prémunir. Pour combien de temps encore ? En 2018, le marché de l’assurance cyber ne représentait en France que 80 millions d'euros et 295 millions d'euros en Europe, contre 2,9 milliards d'euros aux États-Unis. Ces montants, rapportés à l’encaissement total des primes non-vie en France et aux États-Unis, atteignent un ratio de 0,16 % pour la France et de 0,56 % pour les États-Unis. Une progression sensible est attendue. Elle a commencé à se concrétiser au niveau européen entre 2017 et 2018, par une augmentation de plus de 71 % des primes cyber.

Maîtriser le cumul des engagements des assureurs

Néanmoins, le développement du marché se heurte encore à de nombreux freins. Ainsi, à la demande de ses membres, la FFA [2] s’est préoccupée, dès 2014, de lever l’une des entraves à cette nouvelle assurance qui est celle de la maîtrise du cumul des engagements des assureurs à la suite d’une attaque cyber.

Plusieurs facteurs économiques, informatiques et assurantiels tendent à caractériser le risque cyber de systémique. La mondialisation de l’économie entraîne une interdépendance verticale (maison mère, filiale, succursale) et horizontale (supply chain) des systèmes d’information des acteurs économiques. La concentration des fabricants et prestataires de services informatiques génère une multiplication des mêmes hardwares et softwares à travers le monde. Le développement du cloud par de très rares acteurs accroît la problématique de la concentration des données. Et la grande diversité des attaquants (États, mafia, concurrents, hacktivistes, salariés, opportunistes) et des moyens d’attaques (facilement accessibles sur le Darkweb) multiplie de manière exponentielle le nombre d’attaques.
Or le cumul de couvertures d’un même fait générateur cyber par plusieurs polices d’assurance (silent covers) accroît l’engagement maximum possible des assureurs et donc des réassureurs. En matière assurantielle, ce dernier point mérite d’être explicité. Un fait générateur cyber peut mobiliser des garanties au sein de contrats différents, tels que les contrats de dommage aux biens, de responsabilité civile ou ceux dédiés au cyber, sans que l’assureur ou les assureurs de ces contrats ne disposent d’une cartographie précise.

Dès lors, les assureurs n’ont pu appeler les primes correspondantes au risque transféré et les traités des réassureurs ne sont pas nécessairement adaptés à la réalité de leurs engagements.

Les membres de la FFA ont donc souhaité une clarification des engagements des polices d’assurance responsabilité civile, dommages et cyber. Les autorités de contrôle nationales, l'ACPR [3] en France et la PRA [4] au Royaume-Uni, ainsi que l'EIOPA [5] au niveau européen, se préoccupent également de ce sujet en l’intégrant aux contrôles qu’elles réalisent.

Consolider les données afférentes au risque cyber

La structuration en cours du marché de l’assurance cyber doit intégrer une consolidation des données afférentes à ce risque pour une appréciation juste conduisant à une tarification adaptée, à l’instar de celles dont l’assurance dispose en matière de risques incendies d’entreprises. Le partage des informations, dans la limite du respect du droit de la concurrence, est en passe d'arriver à maturité pour ce marché, et représente une opportunité pour tous. Aux États-Unis, la NAIC [6] impose aux assureurs, dans le cadre de leur contrôle annuel, un tableau de reporting dédié au risque cyber.

Afin de mieux comprendre ce nouveau risque, les assureurs ont noué des partenariats avec des spécialistes des risques informatiques et adapté leurs contrats aux sollicitations du marché. L’ensemble des assureurs intervenants sur les risques d’entreprises propose désormais des contrats spécifiques à la couverture des risques cyber. Cette première réponse devra être complétée par un travail d’harmonisation des définitions afin que les assurés disposent d’une vision d’ensemble de leurs couvertures.

Maîtriser l'environnement juridique

La compréhension du risque cyber requiert également une maîtrise de l’environnement juridique. En mai 2018, le RGPD [7] et la directive NIS [8] ont été transposés en droit français. En France, la Cnil [9] peut ainsi sanctionner financièrement, au titre du RGPD, les entreprises n’ayant pas respecté ces dispositions.

Avec le développement des « rançongiciels », une clarification de l’assurabilité des amendes administratives est nécessaire pour une parfaite concurrence entre assureurs. En effet, au-delà de la question morale de savoir si un assureur peut couvrir les conséquences financières du non-respect par son assuré d’une réglementation, la question reste posée au niveau du Droit.
En ce qui concerne les aspects plus matériels, les assureurs ont développé des outils de prévention et des mesures d’accompagnement spécifiques au risque cyber. L’analyse de l’exposition de l’assuré à ce risque, la mise en place concertée de mesures de prévention et protection adaptées, la mise à disposition d’outils de gestion de crise sont désormais des services proposés systématiquement par les couvertures assurantielles, afin de prévenir une attaque et/ou de réduire les conséquences dommageables d’une attaque réussie.

Les assureurs seuls ne peuvent appréhender l’ensemble des problématiques posées par les risques cyber. La FFA a noué des échanges constructifs avec l’ANSSI et le groupement d'intérêt public « Action contre la cybermalveillance » (ACYMA) qui a notamment pour objectif de développer un observatoire du risque cyber en France, par l’intermédiaire de sa plateforme Cybermalveillance.gouv.fr. Des échanges ont aussi été noués avec le monde universitaire, notamment avec l'Institut de recherche technologique SystemX à Palaiseau, ainsi qu’avec l'AMRAE [10] et la CPME [11] . Ces échanges se traduisent aussi en actions de pédagogie et de promotion de l’assurance cyber. La FFA édite ainsi plusieurs documents à destination des TPE et PME.

Vers une branche assurantielle dédiée aux risques cyber ?

Il pourrait être opportun d’aller plus loin et de créer juridiquement une branche assurantielle dédiée aux risques cyber, telle que l'a formulé dans son rapport d’août 2018, l’instance de contrôle européenne, l’EIOPA : « EIOPA will investigate the possibility of introducing new line-of-business code(s) in the Solvency II framework to enhance understanding of the quantitative dimension on a more structural basis. » Cette réflexion vient également d’être engagée au niveau de l’IAIS [12] avec l'objectif d’identifier les domaines où son action serait utile pour assurer la résilience du secteur de l’assurance.

En peu d’années, face à ce très important nouveau risque, les assureurs ont accompli un travail remarquable pour apporter les réponses adaptées et accompagner au mieux leurs assurés. Il reste à mobiliser les acteurs concernés. Un marché de l’assurance correctement structuré constitue en effet une condition nécessaire – même si elle n’est pas suffisante – à la réussite de la transformation numérique de notre économie.