« La prochaine pandémie sera cyber » : tel est le leitmotiv de plusieurs experts, politiques, économistes, assureurs, réassureurs… qu’on entend depuis plusieurs mois, tant la crise du Covid-19 a contribué au développement de la cybercriminalité et à la multiplication des attaques cyber contre tous types de sociétés.
La crise sanitaire a permis à certaines organisations d’accélérer leur digitalisation et à d’autres de prendre conscience de la digitalisation et de l’interdépendance des économies numériques. Le changement soudain des modes de travail a poussé les entreprises à revoir leur ligne de défense, en mettant en place des plans de sensibilisation des salariés, des solutions techniques pour sécuriser leurs actifs immatériels et les accès distants des salariés, malgré une surface d’attaque qui s’est élargie. Les cybercriminels en ont profité, de manière lucrative, pour mener des attaques contre les entreprises qui ont mis en place des modes de travail hybrides en ouvrant leur système d’information.
Avec un peu de recul, si on se compare à mars 2020, 70 %
Les assureurs sont confrontés à un risque de cumul de leurs engagements, car la défaillance d’un fournisseur de cloud victime d’une attaque peut paralyser des centaines de milliers d’entreprises de par le monde. En plusieurs décennies, l’assurance a montré sa capacité à soutenir le système économique, en apportant des solutions concrètes aux entreprises afin de leur permettre d’être contributrice de valeur. Elle a par ailleurs su se réinventer et répondre à des problématiques précises, en développant des mécanismes ou produits spécifiques, afin de répondre à l’émergence de certains risques, à l’instar des risques de catastrophes naturelles, risques politiques et risques agricoles.
Depuis plus de vingt ans, le marché de l’assurance se penche sur la couverture des risques cyber, sans toutefois avoir toujours imaginé la volatilité qui en découle. Une attaque par ransomware coûte en moyenne 6 M€
La dégradation de l’offre, du fait de la sinistralité accrue, a remis en question le caractère assurable de la menace cyber et la capacité des assureurs à y faire face. À la question de savoir si les risques cyber sont assurables, la réponse ne fait aucun doute : oui, mais si et seulement si assureurs, courtiers et assurés ont bien conscience des enjeux et travaillent ensemble à s’inscrire dans un cercle vertueux. Comment le marché de l’assurance répond-il à ce défi majeur du XXIe siècle ? Doit-on craindre un manque de solution ? Comment s’équilibre l’offre et la demande ? Quels leviers activer pour une meilleure couverture du risque ?
L’assurance cyber, un produit vedette
Longtemps considéré comme le produit vedette des assureurs, l’assurance cyber a été un relais de croissance pour nombre d’entre eux, lorsqu’il était difficile de gagner des parts de marché dans les branches d’assurance traditionnelles. Il y a cinq ans, la stratégie des assureurs était de faire du développement par le biais d’un produit qui peinait à convaincre. L’attractivité de ce nouveau marché, qui était né dix ans plus tôt aux Etats Unis, a séduit plusieurs entreprises – les plus grandes, principalement – car il répondait à un sujet capital, qui allait devenir le défi majeur de ce début de XXIe siècle.
Plusieurs entreprises ont compris que se couvrir contre ce risque était incontournable, puisqu’il embrassait un changement profond au sein de leurs économies. Ainsi, les assureurs couvraient un risque nouveau pour lequel ils ne disposaient pas d’assez de données pour modéliser le risque qu’ils assuraient et pour lequel la sinistralité n’avait pas encore pointé le bout de son nez. Les entreprises qui souhaitaient s’assurer avaient accès à des limites de garanties considérables, des garanties larges et des franchises compétitives, pour un prix qui aujourd’hui, avec du recul, ne correspondait pas à la réalité des expositions contractées par les assureurs. A cette complexité, s’ajoutait la problématique de la quantification de ce risque au regard de son caractère transfrontalier – lorsqu’on tient compte, notamment, de l’interconnexion des réseaux dans le monde, ainsi que du caractère protéiforme de la menace.
Un contrat d’assurance efficace et indispensable
Devenu un outil incontournable dans l’approche de gestion des risques des entreprises, l’assurance cyber a réussi à convaincre plusieurs organisations, malgré la complexité qu’on lui prête. Il est vrai que bon nombre de contrats pourraient gagner en lisibilité, permettant ainsi aux assurés une couverture plus simple et une meilleure interprétation des clauses du contrat en cas de survenance d’un sinistre, mais l’essence du contrat reste claire et perceptible par tous.
Les courtiers ont longtemps joué un rôle pédagogique et de simplification des garanties en développant leur propre intercalaire, dans un souci d’harmonisation des garanties proposées par le marché de l’assurance et de garanties adaptées aux risques à couvrir. La volonté des assureurs est de couvrir les actes malveillants, tout en faisant prendre conscience que l’erreur humaine est une cause majeure de cyber-attaques.
Les conséquences financières liées à ces actes malveillants sont les frais d’assistance, afin de fournir les services de réponse à incidents nécessaires aux organisations pour endiguer l’attaque et restaurer les systèmes d’information endommagés, en vue d’une reprise efficiente et rapide de l’activité. Les contrats prévoient également la couverture de la perte d’exploitation et des réclamations de tiers ayant subi un préjudice à la suite d’une divulgation de leurs données personnelles ou confidentielles.
Pour la majorité des contrats, la crise sanitaire a été l’occasion de montrer l’efficacité de la rédaction des contrats d’assurance cyber : leurs clauses répondaient parfaitement aux menaces liées au travail à distance, telles que l’intrusion dans le système d’information de l’entreprise ou dans l’ordinateur professionnel du salarié. Cette période a également vu croître l’intérêt des entreprises pour cette couverture, après qu’elles ont pris conscience, rapidement, des diverses conséquences dommageables d’une attaque cyber et compris le contenu et l’intérêt des garanties d’une police d’assurance correspondante.
Toutefois, la très forte réduction de l’offre, notamment en première ligne, et d’une manière générale la réduction des capacités proposées par les assureurs, conduit à s’interroger sur la capacité du marché de l’assurance à répondre aux problématiques et besoins réels des assurés. De nombreuses entreprises n’arrivent plus à trouver les couvertures nécessaires pour couvrir leur exposition réelle. Les assureurs et les assurés étaient loin d’imaginer la volatilité du risque cyber, notamment la fréquence et l’intensité des attaques auxquelles font face les entreprises depuis plusieurs mois, en France comme à travers le monde.
Le défi du ransomware
L’année 2020 a été le point d’inflexion du marché de l’assurance cyber en France et partout ailleurs. Dans l’Hexagone, l’intensification de la fréquence et de la sévérité des attaques cyber est exponentielle, quels que soient les secteurs d’activité. C’est plus d’une centaine d’entreprises qui ont été victimes d’une attaque de type rançongiciel au cours de l’année 2020, une tendance qui s’est poursuivie au premier semestre 2021.
En France, le marché de l’assurance cyber est déficitaire, ainsi qu’en atteste le ratio S/P, passé de 87 % à 172 %
Cette tendance continue de se refléter sur la stratégie des assureurs, avec une altération continue de l’offre, notamment liée aux attaques de type rançongiciel. Après avoir procédé à la réduction des capacités et à l’augmentation des franchises, les assureurs se sont penchés sur les modes opératoires ayant entraîné la dégradation de leur ratio technique sur la branche cyber. Le ransomware est devenu le cauchemar à la fois des clients et des assureurs. Pour mieux gérer leur exposition et tenir compte de leur niveau de perte, les assureurs ont décidé de sous-limiter les garanties accordées à la suite d’un ransomware et de partager les pertes avec l’assuré, en introduisant une clause de co-assurance au sein des contrats. Cette nouvelle politique traduit la volonté des assureurs de responsabiliser les clients dans la gestion de leur risque, en plus de l’application de la franchise, supportée par le client.
Face à cette montée en puissance des attaques cyber, qui peuvent avoir un effet dévastateur pour une société, plusieurs entreprises cherchent à s’assurer, ce qui n’était pas un automatisme il y a encore quelques années. Les assureurs continuent de réduire leurs offres de couverture en appliquant des prix jugés parfois abusifs, situation que n’acceptent pas les clients, qui, dans certains cas, décident de réduire la limite de garantie souscrite initialement, ou tout simplement de ne plus acheter d’assurance.
Dans ce contexte du marché de l’assurance cyber, la loi de l’offre et de la demande peine à s’équilibrer, rendant complexe le renouvellement des programmes d’assurance cyber et la mise en place de nouvelles polices. Le durcissement du marché s’accompagne également d’un processus de souscription devenu de plus en plus long et fastidieux, du fait de formulaires de souscription très denses en questions, différents d’un assureur à l’autre, avec parfois des exigences jugées incohérentes avec le profil de risque de certains clients.
Une appréciation du risque cyber
Au regard des procédures de souscription, les assureurs gagneraient à être plus pragmatiques dans leur analyse du risque cyber. La majorité des assureurs évaluent le risque cyber en développant leur propre grille d’analyse, qui repose souvent sur la combinaison de plusieurs référentiels de sécurité, comme NIST ou ISO 27001. Nombre de clients construisent leur politique de sécurité de système d’information en se basant sur ces référentiels. Toutefois, l’analyse du risque cyber devrait être corrélée avec une approche risk management plutôt qu’avec une approche cartésienne, dont l’objectif se limite parfois à cocher des cases.
Il n’existe pas une seule stratégie en matière de cyber-sécurité. Les solutions organisationnelles et techniques déployées dans le cadre d’une politique de cyber-sécurité par les assurés doivent être mises en perspective avec les actifs immatériels et l’organisation de l’entreprise. Certains assureurs peuvent par exemple refuser de couvrir certaines entreprises en invoquant une externalisation trop importante. Dans ce cas de figure, il est probable que l’assureur ne soit pas en mesure d’analyser le risque via son guide de souscription interne, à savoir cocher les cases lui permettant d’obtenir un scoring de risque, et ne prenne pas le temps de comprendre les raisons de cette externalisation.
L’appréciation du risque cyber par les assureurs du marché est hétérogène. Chaque assureur a sa propre démarche et ses propres outils (incluant parfois des consultants cyber internes ou externes), ce qui revient à complexifier le processus de souscription. Jugée de manière robotique par les assurés, elle laisse peu de marge à la discussion.
Afin de faciliter l’évolution vers davantage d’accompagnement du marché de l’assurance, les assureurs devraient être plus transparents dans les critères d’appréciation du risque. Certains assureurs sont encore réticents à communiquer leur analyse au client, pour des raisons que ces derniers ne comprennent pas toujours. D’autres assureurs font l’effort d’accompagner les clients en émettant des recommandations visant à permettre leur assurabilité et augmenter leur maturité.
Depuis plusieurs mois, les assureurs ont introduit des outils de notation cyber (SecurityScorecard, Bitsight, Cyence, Kynd…) dans leur politique de souscription. Bien que ces outils aient montré leur efficacité dans certains cas, identifiant des ports ouverts ou des vulnérabilités non corrigées, ils ont dans le même temps été contre-productifs, dans un processus de souscription de plus en plus fastidieux. Certains clients se sont vus refuser des propositions d’assurance parce que leur notation reflétait une gestion du risque cyber en dessous des standards attendus par les assureurs. D’autres se sont retrouvés sans solution, à tort, car l’outil faisait apparaître des vulnérabilités sur des noms de domaines qui étaient reliés à ceux du client mais qui n’étaient pas sous son administration ou sous sa gestion et ne faisaient tout simplement pas partie de son infrastructure.
Ces différents cas montrent le peu de pertinence de l’utilisation de ces outils et de l’usage qui en est fait. Ce type d’outils devrait rester une base d’analyse et provoquer un échange avec les assurés, plutôt qu’une souscription automatique se basant sur les résultats obtenus par l’outil.
Vers une harmonisation des standards
La dissonance entre les standards existants, ceux attendus par les assureurs et ceux mis en place par les entreprises devrait être corrigée, afin de gagner en transparence et permettre aux entreprises de trouver des solutions de couverture. Le marché de l’assurance cyber gagnerait en maturité s’il s’accordait sur un seul et même référentiel d’analyse du risque, qui permette d’expliquer aux assurés les prérequis des assureurs. La mise en place d’un tel référentiel est complexe : le risque évolue constamment et il doit être mis à jour régulièrement, afin de répondre à l’état de la menace.
Une course contre la montre
À ce jour, la majeure partie des entreprises françaises, soit en raison de leur secteur d’activité trop sinistré, soit de leur niveau de sécurité jugée insuffisant par les assureurs, ne peut prétendre à une couverture d’assurance pour se protéger contre les conséquences financières d’une attaque cyber. C’est possible parce que certaines entreprises appliquent une politique de cybersécurité insuffisamment robuste et ignorent encore les bonnes pratiques.
Cette situation engendre plusieurs problèmes. Le premier est l’impossibilité pour les assureurs de souscrire de nouveaux risques et donc de poursuivre la mutualisation du risque, alors qu’on sait que c’est l’une des clés pour refaire de l’assurance cyber un marché attractif. Le deuxième : pour prétendre à une couverture, les entreprises doivent engager une course contre la montre pour investir dans les prérequis nécessaires pour être assurables, afin de favoriser le développement du marché de l’assurance cyber et rendre moins volatile les résultats techniques des assureurs. Le contexte est paradoxal, puisque le développement et l’implémentation d’un projet IT peut prendre plusieurs mois, voire plusieurs années. Pendant ce temps, de nouvelles menaces peuvent apparaître et rendre les solutions du moment obsolètes, augmentant de ce fait les prérequis ou standards exigés par les assureurs.
La viabilité du marché de l’assurance cyber est liée à une meilleure gestion des risques des clients et à une flexibilité des couvertures proposées par les assureurs. La sinistralité devrait s’inscrire dans la durée au cours des prochaines années. Les entreprises n’ayant pas le niveau nécessaire pour se couvrir devront s’autofinancer au moment de la survenance des sinistres et, avant tout, investir dans un plan de cyber-sécurité.
Le défi des PME et des ETI
Le taux d’équipement de l’assurance cyber des PME et ETI françaises est dérisoire (autour de 8 %) par rapport au potentiel du marché. Une des clés pour revenir à un marché cyber attrayant pour l’ensemble des entreprises est une meilleure méthode de mutualisation des risques par les assureurs, sur les sociétés de bas de segment.
Face à la volatilité des sinistres cyber, les assureurs font face à un défi majeur, qui est de trouver la bonne équation de mutualisation du risque. Les assureurs ont besoin de rehausser leur niveau de prime afin d’absorber la sinistralité actuelle. Augmenter constamment les primes sur les polices d’assurance souscrites par les grandes entreprises est une solution à court terme et ne permettra pas la pérennité de ce marché. Il est donc crucial pour le secteur de répondre à la demande des petites et moyennes entreprises et de les aider à trouver des solutions simples et pragmatiques. Pour cela, il faut intensifier et diversifier les circuits de distribution, en développant des partenariats entre experts en cyber-sécurité, assureurs et courtiers.
L’assurance cyber peut être distribuée par des canaux traditionnels ou développer des circuits innovants et alternatifs. Il faut également compter sur l’émergence des cyber-insurtechs, qui développent des modèles multicanaux, pragmatiques et simples à la souscription.
Un risque systémique
À ce stade, le marché de l’assurance cyber est loin d’être dimensionné pour répondre à une attaque globale ayant des conséquences sur l’ensemble de l’économie. Les dommages liés à la cyber criminalité représenteront 6 000 Md$ fin 2021, contre environ 10 Md$ de primes collectées par le secteur de l’assurance au niveau mondial. La corrélation entre ces deux chiffres est certes simpliste, mais il existe de fait un déséquilibre financier.
En 2017, Wannacry et Notpetya, du nom de deux cyber-attaques, ont mis en lumière le caractère systémique du risque cyber. Les derniers événements, comme Solarwinds ou l’attaque subie par Coloniale Pipeline, ont confirmé qu’une attaque cyber peut entraîner un effet domino, à l’échelle d’une nation et même au-delà. Les pertes peuvent être considérables et affecter l’ensemble de l’économie. L’État est donc appelé à la rescousse, pour penser un nouveau modèle de mutualisation, s’appuyant sur un partenariat public-privé, dans la mesure où les assureurs pourraient ne pas être en mesure de faire face à leurs engagements.
Conscient de ces enjeux, la direction du Trésor a entamé une consultation auprès des différentes parties prenantes du secteur, pour une étude qui rendra ses conclusions sur la couverture du risque cyber. Les assureurs cyber sont dépassés. Ils ont des difficultés à anticiper la menace, subissent la sinistralité et adaptent leur politique en fonction des modes opératoires des attaquants. Le ransomware est la preuve que le marché n’est pas prêt à absorber l’entièreté des conséquences financières de la cybercriminalité. De ce fait, il est primordial de réfléchir à des solutions financières alternatives pour accompagner le marché de l’assurance, comme la titrisation, qui est une première piste de réflexion.
Avant cela, le recours aux captives d’assurance ou de réassurance est un outil de plus en plus considéré pour poser les bases d’un programme d’assurance et faire ensuite intervenir les assureurs au-delà de l’intervention de la captive, ou pour pallier l’absence d’assureur à certains niveaux d’un programme d’assurance cyber.
