Assurance des risques cyber : un marché en construction

Les cyber-risques menacent d&eacute;sormais et pour longtemps l&rsquo;ensemble des acteurs &eacute;conomiques d&rsquo;un monde globalis&eacute;. D&rsquo;abord parce qu&rsquo;ils font dispara&icirc;tre les notions d&rsquo;espace et de temps ; ensuite, parce qu&rsquo;ils permettent, &agrave; une &eacute;chelle inconnue jusqu&rsquo;alors, des comportements d&rsquo;espionnage, de malveillance, de criminalit&eacute; ou de d&eacute;stabilisation politique. C&rsquo;est donc bien d&rsquo;une sorte de guerre num&eacute;rique qu&rsquo;il convient de parler. Et comme pour toutes les guerres, si l&rsquo;on veut s&rsquo;en pr&eacute;server, il faut s&rsquo;y pr&eacute;parer. Malheur &agrave; ceux qui attendront trop. Selon Guillaume Poupard, directeur g&eacute;n&eacute;ral de l&rsquo;ANSSI [1] , &laquo; le risque cyber est inh&eacute;rent &agrave; notre soci&eacute;t&eacute;, il a un caract&egrave;re global et fait peser sur notre &eacute;conomie la menace d&rsquo;un Pearl Harbour informatique &raquo;. C&rsquo;est au d&eacute;but des ann&eacute;es 2000 que ce risque a surgi aux &Eacute;tats-Unis avec les premiers virus de masse qu&rsquo;ont &eacute;t&eacute; &laquo; Melissa &raquo; en 1999 et &laquo; I Love you &raquo; en 2000, qui ont infect&eacute; des millions d&rsquo;ordinateurs via des pi&egrave;ces jointes &agrave; des e-mails. Le 1er juillet 2003, &agrave; la suite de la violation de donn&eacute;es personnelles de fonctionnaires de l&rsquo;&Eacute;tat de Californie, une loi californienne a impos&eacute; aux structures qui conservent des informations personnelles de tiers, d'informer ces derniers en cas de faille de s&eacute;curit&eacute; concernant leurs donn&eacute;es. Ces contraintes ont conduit les grandes entreprises anglo-saxonnes et celles sp&eacute;cialis&eacute;es dans le traitement des donn&eacute;es &agrave; se tourner vers l&rsquo;assurance, pour lui transf&eacute;rer les cons&eacute;quences dommageables de ces risques cyber. Un march&eacute; de l&rsquo;assurance cyber encore peu d&eacute;velopp&eacute; Ces ph&eacute;nom&egrave;nes sont apparus en France une dizaine d&rsquo;ann&eacute;es plus tard. Au printemps 2017, &laquo; Wannacry &raquo; et &laquo; NotPetya &raquo; ont d&eacute;montr&eacute; toute l&rsquo;&eacute;tendue et la force de ces nouveaux types d&rsquo;attaques. Quelques heures seulement apr&egrave;s sa premi&egrave;re apparition en Ukraine, le ver NotPetya s&rsquo;est propag&eacute; &agrave; l&rsquo;ensemble de la plan&egrave;te provoquant d&rsquo;importants dommages &agrave; de nombreuses multinationales, tels le transporteur Maersk (300 millions de dollars de dommages), l&rsquo;entreprise pharmaceutique Merck (870 millions de dollars) et, chez nous, l&rsquo;industriel Saint-Gobain (384 millions de dollars). Selon une &eacute;valuation de la Maison Blanche, le co&ucirc;t des dommages de cette attaque s&rsquo;&eacute;l&egrave;verait &agrave; plusieurs milliards de dollars. Et pourtant, malgr&eacute; ces enjeux majeurs pour les entreprises, le march&eacute; de l&rsquo;assurance cyber n&rsquo;est pas encore mature. L&rsquo;&eacute;cart est consid&eacute;rable entre la conscience du danger et les moyens investis pour s&rsquo;en pr&eacute;munir. Pour combien de temps encore ? En 2018, le march&eacute; de l&rsquo;assurance cyber ne repr&eacute;sentait en France que 80 millions d'euros et 295 millions d'euros en Europe, contre 2,9 milliards d'euros aux &Eacute;tats-Unis. Ces montants, rapport&eacute;s &agrave; l&rsquo;encaissement total des primes non-vie en France et aux &Eacute;tats-Unis, atteignent un ratio de 0,16 % pour la France et de 0,56 % pour les &Eacute;tats-Unis. Une progression sensible est attendue. Elle a commenc&eacute; &agrave; se concr&eacute;tiser au niveau europ&eacute;en entre 2017 et 2018, par une augmentation de plus de 71 % des primes cyber. Ma&icirc;triser le cumul des engagements des assureurs N&eacute;anmoins, le d&eacute;veloppement du march&eacute; se heurte encore &agrave; de nombreux freins. Ainsi, &agrave; la demande de ses membres, la FFA [2] s&rsquo;est pr&eacute;occup&eacute;e, d&egrave;s 2014, de lever l&rsquo;une des entraves &agrave; cette nouvelle assurance qui est celle de la ma&icirc;trise du cumul des engagements des assureurs &agrave; la suite d&rsquo;une attaque cyber. Plusieurs facteurs &eacute;conomiques, informatiques et assurantiels tendent &agrave; caract&eacute;riser le risque cyber de syst&eacute;mique. La mondialisation de l&rsquo;&eacute;conomie entra&icirc;ne une interd&eacute;pendance verticale (maison m&egrave;re, filiale, succursale) et horizontale (supply chain) des syst&egrave;mes d&rsquo;information des acteurs &eacute;conomiques. La concentration des fabricants et prestataires de services informatiques g&eacute;n&egrave;re une multiplication des m&ecirc;mes hardwares et softwares &agrave; travers le monde. Le d&eacute;veloppement du cloud par de tr&egrave;s rares acteurs accro&icirc;t la probl&eacute;matique de la concentration des donn&eacute;es. Et la grande diversit&eacute; des attaquants (&Eacute;tats, mafia, concurrents, hacktivistes, salari&eacute;s, opportunistes) et des moyens d&rsquo;attaques (facilement accessibles sur le Darkweb) multiplie de mani&egrave;re exponentielle le nombre d&rsquo;attaques. Or le cumul de couvertures d&rsquo;un m&ecirc;me fait g&eacute;n&eacute;rateur cyber par plusieurs polices d&rsquo;assurance (silent covers) accro&icirc;t l&rsquo;engagement maximum possible des assureurs et donc des r&eacute;assureurs. En mati&egrave;re assurantielle, ce dernier point m&eacute;rite d&rsquo;&ecirc;tre explicit&eacute;. Un fait g&eacute;n&eacute;rateur cyber peut mobiliser des garanties au sein de contrats diff&eacute;rents, tels que les contrats de dommage aux biens, de responsabilit&eacute; civile ou ceux d&eacute;di&eacute;s au cyber, sans que l&rsquo;assureur ou les assureurs de ces contrats ne disposent d&rsquo;une cartographie pr&eacute;cise. D&egrave;s lors, les assureurs n&rsquo;ont pu appeler les primes correspondantes au risque transf&eacute;r&eacute; et les trait&eacute;s des r&eacute;assureurs ne sont pas n&eacute;cessairement adapt&eacute;s &agrave; la r&eacute;alit&eacute; de leurs engagements. Les membres de la FFA ont donc souhait&eacute; une clarification des engagements des polices d&rsquo;assurance responsabilit&eacute; civile, dommages et cyber. Les autorit&eacute;s de contr&ocirc;le nationales, l'ACPR [3] en France et la PRA [4] au Royaume-Uni, ainsi que l'EIOPA [5] au niveau europ&eacute;en, se pr&eacute;occupent &eacute;galement de ce sujet en l&rsquo;int&eacute;grant aux contr&ocirc;les qu&rsquo;elles r&eacute;alisent. Consolider les donn&eacute;es aff&eacute;rentes au risque cyber La structuration en cours du march&eacute; de l&rsquo;assurance cyber doit int&eacute;grer une consolidation des donn&eacute;es aff&eacute;rentes &agrave; ce risque pour une appr&eacute;ciation juste conduisant &agrave; une tarification adapt&eacute;e, &agrave; l&rsquo;instar de celles dont l&rsquo;assurance dispose en mati&egrave;re de risques incendies d&rsquo;entreprises. Le partage des informations, dans la limite du respect du droit de la concurrence, est en passe d'arriver &agrave; maturit&eacute; pour ce march&eacute;, et repr&eacute;sente une opportunit&eacute; pour tous. Aux &Eacute;tats-Unis, la NAIC [6] impose aux assureurs, dans le cadre de leur contr&ocirc;le annuel, un tableau de reporting d&eacute;di&eacute; au risque cyber. Afin de mieux comprendre ce nouveau risque, les assureurs ont nou&eacute; des partenariats avec des sp&eacute;cialistes des risques informatiques et adapt&eacute; leurs contrats aux sollicitations du march&eacute;. L&rsquo;ensemble des assureurs intervenants sur les risques d&rsquo;entreprises propose d&eacute;sormais des contrats sp&eacute;cifiques &agrave; la couverture des risques cyber. Cette premi&egrave;re r&eacute;ponse devra &ecirc;tre compl&eacute;t&eacute;e par un travail d&rsquo;harmonisation des d&eacute;finitions afin que les assur&eacute;s disposent d&rsquo;une vision d&rsquo;ensemble de leurs couvertures. Ma&icirc;triser l'environnement juridique La compr&eacute;hension du risque cyber requiert &eacute;galement une ma&icirc;trise de l&rsquo;environnement juridique. En mai 2018, le RGPD [7] et la directive NIS [8] ont &eacute;t&eacute; transpos&eacute;s en droit fran&ccedil;ais. En France, la Cnil [9] peut ainsi sanctionner financi&egrave;rement, au titre du RGPD, les entreprises n&rsquo;ayant pas respect&eacute; ces dispositions. Avec le d&eacute;veloppement des &laquo; ran&ccedil;ongiciels &raquo;, une clarification de l&rsquo;assurabilit&eacute; des amendes administratives est n&eacute;cessaire pour une parfaite concurrence entre assureurs. En effet, au-del&agrave; de la question morale de savoir si un assureur peut couvrir les cons&eacute;quences financi&egrave;res du non-respect par son assur&eacute; d&rsquo;une r&eacute;glementation, la question reste pos&eacute;e au niveau du Droit. En ce qui concerne les aspects plus mat&eacute;riels, les assureurs ont d&eacute;velopp&eacute; des outils de pr&eacute;vention et des mesures d&rsquo;accompagnement sp&eacute;cifiques au risque cyber. L&rsquo;analyse de l&rsquo;exposition de l&rsquo;assur&eacute; &agrave; ce risque, la mise en place concert&eacute;e de mesures de pr&eacute;vention et protection adapt&eacute;es, la mise &agrave; disposition d&rsquo;outils de gestion de crise sont d&eacute;sormais des services propos&eacute;s syst&eacute;matiquement par les couvertures assurantielles, afin de pr&eacute;venir une attaque et/ou de r&eacute;duire les cons&eacute;quences dommageables d&rsquo;une attaque r&eacute;ussie. Les assureurs seuls ne peuvent appr&eacute;hender l&rsquo;ensemble des probl&eacute;matiques pos&eacute;es par les risques cyber. La FFA a nou&eacute; des &eacute;changes constructifs avec l&rsquo;ANSSI et le groupement d'int&eacute;r&ecirc;t public &laquo; Action contre la cybermalveillance &raquo; (ACYMA) qui a notamment pour objectif de d&eacute;velopper un observatoire du risque cyber en France, par l&rsquo;interm&eacute;diaire de sa plateforme Cybermalveillance.gouv.fr. Des &eacute;changes ont aussi &eacute;t&eacute; nou&eacute;s avec le monde universitaire, notamment avec l'Institut de recherche technologique SystemX &agrave; Palaiseau, ainsi qu&rsquo;avec l'AMRAE [10] et la CPME [11] . Ces &eacute;changes se traduisent aussi en actions de p&eacute;dagogie et de promotion de l&rsquo;assurance cyber. La FFA &eacute;dite ainsi plusieurs documents &agrave; destination des TPE et PME. Vers une branche assurantielle d&eacute;di&eacute;e aux risques cyber ? Il pourrait &ecirc;tre opportun d&rsquo;aller plus loin et de cr&eacute;er juridiquement une branche assurantielle d&eacute;di&eacute;e aux risques cyber, telle que l'a formul&eacute; dans son rapport d&rsquo;ao&ucirc;t 2018, l&rsquo;instance de contr&ocirc;le europ&eacute;enne, l&rsquo;EIOPA : &laquo; EIOPA will investigate the possibility of introducing new line-of-business code(s) in the Solvency II framework to enhance understanding of the quantitative dimension on a more structural basis. &raquo; Cette r&eacute;flexion vient &eacute;galement d&rsquo;&ecirc;tre engag&eacute;e au niveau de l&rsquo;IAIS [12] avec l'objectif d&rsquo;identifier les domaines o&ugrave; son action serait utile pour assurer la r&eacute;silience du secteur de l&rsquo;assurance. En peu d&rsquo;ann&eacute;es, face &agrave; ce tr&egrave;s important nouveau risque, les assureurs ont accompli un travail remarquable pour apporter les r&eacute;ponses adapt&eacute;es et accompagner au mieux leurs assur&eacute;s. Il reste &agrave; mobiliser les acteurs concern&eacute;s. Un march&eacute; de l&rsquo;assurance correctement structur&eacute; constitue en effet une condition n&eacute;cessaire &ndash; m&ecirc;me si elle n&rsquo;est pas suffisante &ndash; &agrave; la r&eacute;ussite de la transformation num&eacute;rique de notre &eacute;conomie. 1 Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information. 2 F&eacute;d&eacute;ration fran&ccedil;aise de l'assurance. 3 Autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution. 4 Prudential Regulation Authority. 5 Autorit&eacute; europ&eacute;enne des assurances et des pensions professionnelles, en anglais &laquo; European Insurance and Occupational Pensions Authority &raquo;. 6 National Association of Insurance Commissioners. 7 R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es. 8 Network and Information System Security. 9 Commission nationale de l'informatique et des libert&eacute;s. 10 Association pour le management des risques et des assurances de l'entreprise. 11 Conf&eacute;d&eacute;ration des petites et moyennes entreprises. 12 International Association of Insurance Supervisors.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Numérique

Assurance des risques cyber : un marché en construction

Malgré les enjeux majeurs pour les entreprises, le marché de l’assurance cyber n’est pas encore mature. En France comme au niveau mondial, le secteur s'organise pour le développer.

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous