Quel avenir pour l'assurance cyber ?

&laquo; La prochaine pand&eacute;mie sera cyber &raquo; : tel est le leitmotiv de plusieurs experts, politiques, &eacute;conomistes, assureurs, r&eacute;assureurs&hellip; qu&rsquo;on entend depuis plusieurs mois, tant la crise du Covid-19 a contribu&eacute; au d&eacute;veloppement de la cybercriminalit&eacute; et &agrave; la multiplication des attaques cyber contre tous types de soci&eacute;t&eacute;s. La crise sanitaire a permis &agrave; certaines organisations d&rsquo;acc&eacute;l&eacute;rer leur digitalisation et &agrave; d&rsquo;autres de prendre conscience de la digitalisation et de l&rsquo;interd&eacute;pendance des &eacute;conomies num&eacute;riques. Le changement soudain des modes de travail a pouss&eacute; les entreprises &agrave; revoir leur ligne de d&eacute;fense, en mettant en place des plans de sensibilisation des salari&eacute;s, des solutions techniques pour s&eacute;curiser leurs actifs immat&eacute;riels et les acc&egrave;s distants des salari&eacute;s, malgr&eacute; une surface d&rsquo;attaque qui s&rsquo;est &eacute;largie. Les cybercriminels en ont profit&eacute;, de mani&egrave;re lucrative, pour mener des attaques contre les entreprises qui ont mis en place des modes de travail hybrides en ouvrant leur syst&egrave;me d&rsquo;information. Avec un peu de recul, si on se compare &agrave; mars 2020, 70 % [1] des entreprises fran&ccedil;aises attribuent les cyber-attaques aux vuln&eacute;rabilit&eacute;s des technologies mises en place durant la pand&eacute;mie. Au-del&agrave; de la crise sanitaire, la chronologie des derni&egrave;res agressions a fait ressurgir le caract&egrave;re syst&eacute;mique du risque cyber et l&rsquo;importance de le prendre en consid&eacute;ration dans la gestion de risque au sein des PME, ETI ou grandes entreprises. La porosit&eacute; des supply chains IT reste une &eacute;quation difficile &agrave; r&eacute;soudre pour l&rsquo;ensemble de l&rsquo;&eacute;cosyst&egrave;me, tant pour les offreurs de solutions que pour les clients et assureurs. Les assureurs sont confront&eacute;s &agrave; un risque de cumul de leurs engagements, car la d&eacute;faillance d&rsquo;un fournisseur de cloud victime d&rsquo;une attaque peut paralyser des centaines de milliers d&rsquo;entreprises de par le monde. En plusieurs d&eacute;cennies, l&rsquo;assurance a montr&eacute; sa capacit&eacute; &agrave; soutenir le syst&egrave;me &eacute;conomique, en apportant des solutions concr&egrave;tes aux entreprises afin de leur permettre d&rsquo;&ecirc;tre contributrice de valeur. Elle a par ailleurs su se r&eacute;inventer et r&eacute;pondre &agrave; des probl&eacute;matiques pr&eacute;cises, en d&eacute;veloppant des m&eacute;canismes ou produits sp&eacute;cifiques, afin de r&eacute;pondre &agrave; l&rsquo;&eacute;mergence de certains risques, &agrave; l&rsquo;instar des risques de catastrophes naturelles, risques politiques et risques agricoles. Depuis plus de vingt ans, le march&eacute; de l&rsquo;assurance se penche sur la couverture des risques cyber, sans toutefois avoir toujours imagin&eacute; la volatilit&eacute; qui en d&eacute;coule. Une attaque par ransomware co&ucirc;te en moyenne 6 M&euro; [2] , sans compter le paiement de la ran&ccedil;on. Une entreprise dans le monde est victime de ce type d&rsquo;attaque toutes les 11 secondes. La d&eacute;gradation de l&rsquo;offre, du fait de la sinistralit&eacute; accrue, a remis en question le caract&egrave;re assurable de la menace cyber et la capacit&eacute; des assureurs &agrave; y faire face. &Agrave; la question de savoir si les risques cyber sont assurables, la r&eacute;ponse ne fait aucun doute : oui, mais si et seulement si assureurs, courtiers et assur&eacute;s ont bien conscience des enjeux et travaillent ensemble &agrave; s&rsquo;inscrire dans un cercle vertueux. Comment le march&eacute; de l&rsquo;assurance r&eacute;pond-il &agrave; ce d&eacute;fi majeur du XXI e si&egrave;cle ? Doit-on craindre un manque de solution ? Comment s&rsquo;&eacute;quilibre l&rsquo;offre et la demande ? Quels leviers activer pour une meilleure couverture du risque ? L&rsquo;assurance cyber, un produit vedette Longtemps consid&eacute;r&eacute; comme le produit vedette des assureurs, l&rsquo;assurance cyber a &eacute;t&eacute; un relais de croissance pour nombre d&rsquo;entre eux, lorsqu&rsquo;il &eacute;tait difficile de gagner des parts de march&eacute; dans les branches d&rsquo;assurance traditionnelles. Il y a cinq ans, la strat&eacute;gie des assureurs &eacute;tait de faire du d&eacute;veloppement par le biais d&rsquo;un produit qui peinait &agrave; convaincre. L&rsquo;attractivit&eacute; de ce nouveau march&eacute;, qui &eacute;tait n&eacute; dix ans plus t&ocirc;t aux Etats Unis, a s&eacute;duit plusieurs entreprises &ndash; les plus grandes, principalement &ndash; car il r&eacute;pondait &agrave; un sujet capital, qui allait devenir le d&eacute;fi majeur de ce d&eacute;but de XXI e si&egrave;cle. Plusieurs entreprises ont compris que se couvrir contre ce risque &eacute;tait incontournable, puisqu&rsquo;il embrassait un changement profond au sein de leurs &eacute;conomies. Ainsi, les assureurs couvraient un risque nouveau pour lequel ils ne disposaient pas d&rsquo;assez de donn&eacute;es pour mod&eacute;liser le risque qu&rsquo;ils assuraient et pour lequel la sinistralit&eacute; n&rsquo;avait pas encore point&eacute; le bout de son nez. Les entreprises qui souhaitaient s&rsquo;assurer avaient acc&egrave;s &agrave; des limites de garanties consid&eacute;rables, des garanties larges et des franchises comp&eacute;titives, pour un prix qui aujourd&rsquo;hui, avec du recul, ne correspondait pas &agrave; la r&eacute;alit&eacute; des expositions contract&eacute;es par les assureurs. A cette complexit&eacute;, s&rsquo;ajoutait la probl&eacute;matique de la quantification de ce risque au regard de son caract&egrave;re transfrontalier &ndash; lorsqu&rsquo;on tient compte, notamment, de l&rsquo;interconnexion des r&eacute;seaux dans le monde, ainsi que du caract&egrave;re prot&eacute;iforme de la menace. Un contrat d&rsquo;assurance efficace et indispensable Devenu un outil incontournable dans l&rsquo;approche de gestion des risques des entreprises, l&rsquo;assurance cyber a r&eacute;ussi &agrave; convaincre plusieurs organisations, malgr&eacute; la complexit&eacute; qu&rsquo;on lui pr&ecirc;te. Il est vrai que bon nombre de contrats pourraient gagner en lisibilit&eacute;, permettant ainsi aux assur&eacute;s une couverture plus simple et une meilleure interpr&eacute;tation des clauses du contrat en cas de survenance d&rsquo;un sinistre, mais l&rsquo;essence du contrat reste claire et perceptible par tous. Les courtiers ont longtemps jou&eacute; un r&ocirc;le p&eacute;dagogique et de simplification des garanties en d&eacute;veloppant leur propre intercalaire, dans un souci d&rsquo;harmonisation des garanties propos&eacute;es par le march&eacute; de l&rsquo;assurance et de garanties adapt&eacute;es aux risques &agrave; couvrir. La volont&eacute; des assureurs est de couvrir les actes malveillants, tout en faisant prendre conscience que l&rsquo;erreur humaine est une cause majeure de cyber-attaques. Les cons&eacute;quences financi&egrave;res li&eacute;es &agrave; ces actes malveillants sont les frais d&rsquo;assistance, afin de fournir les services de r&eacute;ponse &agrave; incidents n&eacute;cessaires aux organisations pour endiguer l&rsquo;attaque et restaurer les syst&egrave;mes d&rsquo;information endommag&eacute;s, en vue d&rsquo;une reprise efficiente et rapide de l&rsquo;activit&eacute;. Les contrats pr&eacute;voient &eacute;galement la couverture de la perte d&rsquo;exploitation et des r&eacute;clamations de tiers ayant subi un pr&eacute;judice &agrave; la suite d&rsquo;une divulgation de leurs donn&eacute;es personnelles ou confidentielles. Pour la majorit&eacute; des contrats, la crise sanitaire a &eacute;t&eacute; l&rsquo;occasion de montrer l&rsquo;efficacit&eacute; de la r&eacute;daction des contrats d&rsquo;assurance cyber : leurs clauses r&eacute;pondaient parfaitement aux menaces li&eacute;es au travail &agrave; distance, telles que l&rsquo;intrusion dans le syst&egrave;me d&rsquo;information de l&rsquo;entreprise ou dans l&rsquo;ordinateur professionnel du salari&eacute;. Cette p&eacute;riode a &eacute;galement vu cro&icirc;tre l&rsquo;int&eacute;r&ecirc;t des entreprises pour cette couverture, apr&egrave;s qu&rsquo;elles ont pris conscience, rapidement, des diverses cons&eacute;quences dommageables d&rsquo;une attaque cyber et compris le contenu et l&rsquo;int&eacute;r&ecirc;t des garanties d&rsquo;une police d&rsquo;assurance correspondante. Toutefois, la tr&egrave;s forte r&eacute;duction de l&rsquo;offre, notamment en premi&egrave;re ligne, et d&rsquo;une mani&egrave;re g&eacute;n&eacute;rale la r&eacute;duction des capacit&eacute;s propos&eacute;es par les assureurs, conduit &agrave; s&rsquo;interroger sur la capacit&eacute; du march&eacute; de l&rsquo;assurance &agrave; r&eacute;pondre aux probl&eacute;matiques et besoins r&eacute;els des assur&eacute;s. De nombreuses entreprises n&rsquo;arrivent plus &agrave; trouver les couvertures n&eacute;cessaires pour couvrir leur exposition r&eacute;elle. Les assureurs et les assur&eacute;s &eacute;taient loin d&rsquo;imaginer la volatilit&eacute; du risque cyber, notamment la fr&eacute;quence et l&rsquo;intensit&eacute; des attaques auxquelles font face les entreprises depuis plusieurs mois, en France comme &agrave; travers le monde. Le d&eacute;fi du ransomware L&rsquo;ann&eacute;e 2020 a &eacute;t&eacute; le point d&rsquo;inflexion du march&eacute; de l&rsquo;assurance cyber en France et partout ailleurs. Dans l&rsquo;Hexagone, l&rsquo;intensification de la fr&eacute;quence et de la s&eacute;v&eacute;rit&eacute; des attaques cyber est exponentielle, quels que soient les secteurs d&rsquo;activit&eacute;. C&rsquo;est plus d&rsquo;une centaine d&rsquo;entreprises qui ont &eacute;t&eacute; victimes d&rsquo;une attaque de type ran&ccedil;ongiciel au cours de l&rsquo;ann&eacute;e 2020, une tendance qui s&rsquo;est poursuivie au premier semestre 2021. En France, le march&eacute; de l&rsquo;assurance cyber est d&eacute;ficitaire, ainsi qu&rsquo;en atteste le ratio S/P, pass&eacute; de 87 % &agrave; 172 % [3] . Face &agrave; ce ratio fortement d&eacute;grad&eacute;, le march&eacute; a r&eacute;agi en actionnant trois leviers principaux. Le premier a &eacute;t&eacute; de diminuer et de mieux r&eacute;partir leur engagement afin de mieux g&eacute;rer leur exposition ; le deuxi&egrave;me de rehausser les franchises, dans l&rsquo;objectif de ne couvrir que les risques d&rsquo;intensit&eacute; &ndash; une majorit&eacute; d&rsquo;entreprises, malgr&eacute; leur solidit&eacute; financi&egrave;re, faisait encore le choix d&rsquo;avoir recours &agrave; des franchises basses ; le troisi&egrave;me d&rsquo;augmenter les primes, afin d&rsquo;absorber les pertes d&eacute;j&agrave; r&eacute;alis&eacute;es et de retrouver une rentabilit&eacute; technique. Cette tendance continue de se refl&eacute;ter sur la strat&eacute;gie des assureurs, avec une alt&eacute;ration continue de l&rsquo;offre, notamment li&eacute;e aux attaques de type ran&ccedil;ongiciel. Apr&egrave;s avoir proc&eacute;d&eacute; &agrave; la r&eacute;duction des capacit&eacute;s et &agrave; l&rsquo;augmentation des franchises, les assureurs se sont pench&eacute;s sur les modes op&eacute;ratoires ayant entra&icirc;n&eacute; la d&eacute;gradation de leur ratio technique sur la branche cyber. Le ransomware est devenu le cauchemar &agrave; la fois des clients et des assureurs. Pour mieux g&eacute;rer leur exposition et tenir compte de leur niveau de perte, les assureurs ont d&eacute;cid&eacute; de sous-limiter les garanties accord&eacute;es &agrave; la suite d&rsquo;un ransomware et de partager les pertes avec l&rsquo;assur&eacute;, en introduisant une clause de co-assurance au sein des contrats. Cette nouvelle politique traduit la volont&eacute; des assureurs de responsabiliser les clients dans la gestion de leur risque, en plus de l&rsquo;application de la franchise, support&eacute;e par le client. Face &agrave; cette mont&eacute;e en puissance des attaques cyber, qui peuvent avoir un effet d&eacute;vastateur pour une soci&eacute;t&eacute;, plusieurs entreprises cherchent &agrave; s&rsquo;assurer, ce qui n&rsquo;&eacute;tait pas un automatisme il y a encore quelques ann&eacute;es. Les assureurs continuent de r&eacute;duire leurs offres de couverture en appliquant des prix jug&eacute;s parfois abusifs, situation que n&rsquo;acceptent pas les clients, qui, dans certains cas, d&eacute;cident de r&eacute;duire la limite de garantie souscrite initialement, ou tout simplement de ne plus acheter d&rsquo;assurance. Dans ce contexte du march&eacute; de l&rsquo;assurance cyber, la loi de l&rsquo;offre et de la demande peine &agrave; s&rsquo;&eacute;quilibrer, rendant complexe le renouvellement des programmes d&rsquo;assurance cyber et la mise en place de nouvelles polices. Le durcissement du march&eacute; s&rsquo;accompagne &eacute;galement d&rsquo;un processus de souscription devenu de plus en plus long et fastidieux, du fait de formulaires de souscription tr&egrave;s denses en questions, diff&eacute;rents d&rsquo;un assureur &agrave; l&rsquo;autre, avec parfois des exigences jug&eacute;es incoh&eacute;rentes avec le profil de risque de certains clients. Une appr&eacute;ciation du risque cyber Au regard des proc&eacute;dures de souscription, les assureurs gagneraient &agrave; &ecirc;tre plus pragmatiques dans leur analyse du risque cyber. La majorit&eacute; des assureurs &eacute;valuent le risque cyber en d&eacute;veloppant leur propre grille d&rsquo;analyse, qui repose souvent sur la combinaison de plusieurs r&eacute;f&eacute;rentiels de s&eacute;curit&eacute;, comme NIST ou ISO 27001. Nombre de clients construisent leur politique de s&eacute;curit&eacute; de syst&egrave;me d&rsquo;information en se basant sur ces r&eacute;f&eacute;rentiels. Toutefois, l&rsquo;analyse du risque cyber devrait &ecirc;tre corr&eacute;l&eacute;e avec une approche risk management plut&ocirc;t qu&rsquo;avec une approche cart&eacute;sienne, dont l&rsquo;objectif se limite parfois &agrave; cocher des cases. Il n&rsquo;existe pas une seule strat&eacute;gie en mati&egrave;re de cyber-s&eacute;curit&eacute;. Les solutions organisationnelles et techniques d&eacute;ploy&eacute;es dans le cadre d&rsquo;une politique de cyber-s&eacute;curit&eacute; par les assur&eacute;s doivent &ecirc;tre mises en perspective avec les actifs immat&eacute;riels et l&rsquo;organisation de l&rsquo;entreprise. Certains assureurs peuvent par exemple refuser de couvrir certaines entreprises en invoquant une externalisation trop importante. Dans ce cas de figure, il est probable que l&rsquo;assureur ne soit pas en mesure d&rsquo;analyser le risque via son guide de souscription interne, &agrave; savoir cocher les cases lui permettant d&rsquo;obtenir un scoring de risque, et ne prenne pas le temps de comprendre les raisons de cette externalisation. L&rsquo;appr&eacute;ciation du risque cyber par les assureurs du march&eacute; est h&eacute;t&eacute;rog&egrave;ne. Chaque assureur a sa propre d&eacute;marche et ses propres outils (incluant parfois des consultants cyber internes ou externes), ce qui revient &agrave; complexifier le processus de souscription. Jug&eacute;e de mani&egrave;re robotique par les assur&eacute;s, elle laisse peu de marge &agrave; la discussion. Afin de faciliter l&rsquo;&eacute;volution vers davantage d&rsquo;accompagnement du march&eacute; de l&rsquo;assurance, les assureurs devraient &ecirc;tre plus transparents dans les crit&egrave;res d&rsquo;appr&eacute;ciation du risque. Certains assureurs sont encore r&eacute;ticents &agrave; communiquer leur analyse au client, pour des raisons que ces derniers ne comprennent pas toujours. D&rsquo;autres assureurs font l&rsquo;effort d&rsquo;accompagner les clients en &eacute;mettant des recommandations visant &agrave; permettre leur assurabilit&eacute; et augmenter leur maturit&eacute;. Depuis plusieurs mois, les assureurs ont introduit des outils de notation cyber (SecurityScorecard, Bitsight, Cyence, Kynd&hellip;) dans leur politique de souscription. Bien que ces outils aient montr&eacute; leur efficacit&eacute; dans certains cas, identifiant des ports ouverts ou des vuln&eacute;rabilit&eacute;s non corrig&eacute;es, ils ont dans le m&ecirc;me temps &eacute;t&eacute; contre-productifs, dans un processus de souscription de plus en plus fastidieux. Certains clients se sont vus refuser des propositions d&rsquo;assurance parce que leur notation refl&eacute;tait une gestion du risque cyber en dessous des standards attendus par les assureurs. D&rsquo;autres se sont retrouv&eacute;s sans solution, &agrave; tort, car l&rsquo;outil faisait appara&icirc;tre des vuln&eacute;rabilit&eacute;s sur des noms de domaines qui &eacute;taient reli&eacute;s &agrave; ceux du client mais qui n&rsquo;&eacute;taient pas sous son administration ou sous sa gestion et ne faisaient tout simplement pas partie de son infrastructure. Ces diff&eacute;rents cas montrent le peu de pertinence de l&rsquo;utilisation de ces outils et de l&rsquo;usage qui en est fait. Ce type d&rsquo;outils devrait rester une base d&rsquo;analyse et provoquer un &eacute;change avec les assur&eacute;s, plut&ocirc;t qu&rsquo;une souscription automatique se basant sur les r&eacute;sultats obtenus par l&rsquo;outil. Vers une harmonisation des standards La dissonance entre les standards existants, ceux attendus par les assureurs et ceux mis en place par les entreprises devrait &ecirc;tre corrig&eacute;e, afin de gagner en transparence et permettre aux entreprises de trouver des solutions de couverture. Le march&eacute; de l&rsquo;assurance cyber gagnerait en maturit&eacute; s&rsquo;il s&rsquo;accordait sur un seul et m&ecirc;me r&eacute;f&eacute;rentiel d&rsquo;analyse du risque, qui permette d&rsquo;expliquer aux assur&eacute;s les pr&eacute;requis des assureurs. La mise en place d&rsquo;un tel r&eacute;f&eacute;rentiel est complexe : le risque &eacute;volue constamment et il doit &ecirc;tre mis &agrave; jour r&eacute;guli&egrave;rement, afin de r&eacute;pondre &agrave; l&rsquo;&eacute;tat de la menace. Une course contre la montre &Agrave; ce jour, la majeure partie des entreprises fran&ccedil;aises, soit en raison de leur secteur d&rsquo;activit&eacute; trop sinistr&eacute;, soit de leur niveau de s&eacute;curit&eacute; jug&eacute;e insuffisant par les assureurs, ne peut pr&eacute;tendre &agrave; une couverture d&rsquo;assurance pour se prot&eacute;ger contre les cons&eacute;quences financi&egrave;res d&rsquo;une attaque cyber. C&rsquo;est possible parce que certaines entreprises appliquent une politique de cybers&eacute;curit&eacute; insuffisamment robuste et ignorent encore les bonnes pratiques. Cette situation engendre plusieurs probl&egrave;mes. Le premier est l&rsquo;impossibilit&eacute; pour les assureurs de souscrire de nouveaux risques et donc de poursuivre la mutualisation du risque, alors qu&rsquo;on sait que c&rsquo;est l&rsquo;une des cl&eacute;s pour refaire de l&rsquo;assurance cyber un march&eacute; attractif. Le deuxi&egrave;me : pour pr&eacute;tendre &agrave; une couverture, les entreprises doivent engager une course contre la montre pour investir dans les pr&eacute;requis n&eacute;cessaires pour &ecirc;tre assurables, afin de favoriser le d&eacute;veloppement du march&eacute; de l&rsquo;assurance cyber et rendre moins volatile les r&eacute;sultats techniques des assureurs. Le contexte est paradoxal, puisque le d&eacute;veloppement et l&rsquo;impl&eacute;mentation d&rsquo;un projet IT peut prendre plusieurs mois, voire plusieurs ann&eacute;es. Pendant ce temps, de nouvelles menaces peuvent appara&icirc;tre et rendre les solutions du moment obsol&egrave;tes, augmentant de ce fait les pr&eacute;requis ou standards exig&eacute;s par les assureurs. La viabilit&eacute; du march&eacute; de l&rsquo;assurance cyber est li&eacute;e &agrave; une meilleure gestion des risques des clients et &agrave; une flexibilit&eacute; des couvertures propos&eacute;es par les assureurs. La sinistralit&eacute; devrait s&rsquo;inscrire dans la dur&eacute;e au cours des prochaines ann&eacute;es. Les entreprises n&rsquo;ayant pas le niveau n&eacute;cessaire pour se couvrir devront s&rsquo;autofinancer au moment de la survenance des sinistres et, avant tout, investir dans un plan de cyber-s&eacute;curit&eacute;. Le d&eacute;fi des PME et des ET I Le taux d&rsquo;&eacute;quipement de l&rsquo;assurance cyber des PME et ETI fran&ccedil;aises est d&eacute;risoire (autour de 8 %) par rapport au potentiel du march&eacute;. Une des cl&eacute;s pour revenir &agrave; un march&eacute; cyber attrayant pour l&rsquo;ensemble des entreprises est une meilleure m&eacute;thode de mutualisation des risques par les assureurs, sur les soci&eacute;t&eacute;s de bas de segment. Face &agrave; la volatilit&eacute; des sinistres cyber, les assureurs font face &agrave; un d&eacute;fi majeur, qui est de trouver la bonne &eacute;quation de mutualisation du risque. Les assureurs ont besoin de rehausser leur niveau de prime afin d&rsquo;absorber la sinistralit&eacute; actuelle. Augmenter constamment les primes sur les polices d&rsquo;assurance souscrites par les grandes entreprises est une solution &agrave; court terme et ne permettra pas la p&eacute;rennit&eacute; de ce march&eacute;. Il est donc crucial pour le secteur de r&eacute;pondre &agrave; la demande des petites et moyennes entreprises et de les aider &agrave; trouver des solutions simples et pragmatiques. Pour cela, il faut intensifier et diversifier les circuits de distribution, en d&eacute;veloppant des partenariats entre experts en cyber-s&eacute;curit&eacute;, assureurs et courtiers. L&rsquo;assurance cyber peut &ecirc;tre distribu&eacute;e par des canaux traditionnels ou d&eacute;velopper des circuits innovants et alternatifs. Il faut &eacute;galement compter sur l&rsquo;&eacute;mergence des cyber-insurtechs, qui d&eacute;veloppent des mod&egrave;les multicanaux, pragmatiques et simples &agrave; la souscription. Un risque syst&eacute;mique &Agrave; ce stade, le march&eacute; de l&rsquo;assurance cyber est loin d&rsquo;&ecirc;tre dimensionn&eacute; pour r&eacute;pondre &agrave; une attaque globale ayant des cons&eacute;quences sur l&rsquo;ensemble de l&rsquo;&eacute;conomie. Les dommages li&eacute;s &agrave; la cyber criminalit&eacute; repr&eacute;senteront 6 000 Md$ fin 2021, contre environ 10 Md$ de primes collect&eacute;es par le secteur de l&rsquo;assurance au niveau mondial. La corr&eacute;lation entre ces deux chiffres est certes simpliste, mais il existe de fait un d&eacute;s&eacute;quilibre financier. En 2017, Wannacry et Notpetya, du nom de deux cyber-attaques, ont mis en lumi&egrave;re le caract&egrave;re syst&eacute;mique du risque cyber. Les derniers &eacute;v&eacute;nements, comme Solarwinds ou l&rsquo;attaque subie par Coloniale Pipeline, ont confirm&eacute; qu&rsquo;une attaque cyber peut entra&icirc;ner un effet domino, &agrave; l&rsquo;&eacute;chelle d&rsquo;une nation et m&ecirc;me au-del&agrave;. Les pertes peuvent &ecirc;tre consid&eacute;rables et affecter l&rsquo;ensemble de l&rsquo;&eacute;conomie. L&rsquo;&Eacute;tat est donc appel&eacute; &agrave; la rescousse, pour penser un nouveau mod&egrave;le de mutualisation, s&rsquo;appuyant sur un partenariat public-priv&eacute;, dans la mesure o&ugrave; les assureurs pourraient ne pas &ecirc;tre en mesure de faire face &agrave; leurs engagements. Conscient de ces enjeux, la direction du Tr&eacute;sor a entam&eacute; une consultation aupr&egrave;s des diff&eacute;rentes parties prenantes du secteur, pour une &eacute;tude qui rendra ses conclusions sur la couverture du risque cyber. Les assureurs cyber sont d&eacute;pass&eacute;s. Ils ont des difficult&eacute;s &agrave; anticiper la menace, subissent la sinistralit&eacute; et adaptent leur politique en fonction des modes op&eacute;ratoires des attaquants. Le ransomware est la preuve que le march&eacute; n&rsquo;est pas pr&ecirc;t &agrave; absorber l&rsquo;enti&egrave;ret&eacute; des cons&eacute;quences financi&egrave;res de la cybercriminalit&eacute;. De ce fait, il est primordial de r&eacute;fl&eacute;chir &agrave; des solutions financi&egrave;res alternatives pour accompagner le march&eacute; de l&rsquo;assurance, comme la titrisation, qui est une premi&egrave;re piste de r&eacute;flexion. Avant cela, le recours aux captives d&rsquo;assurance ou de r&eacute;assurance est un outil de plus en plus consid&eacute;r&eacute; pour poser les bases d&rsquo;un programme d&rsquo;assurance et faire ensuite intervenir les assureurs au-del&agrave; de l&rsquo;intervention de la captive, ou pour pallier l&rsquo;absence d&rsquo;assureur &agrave; certains niveaux d&rsquo;un programme d&rsquo;assurance cyber. 1 Etude r&eacute;alis&eacute;e par Forest Consulting aupr&egrave;s de 48 responsables s&eacute;curit&eacute;, 61 dirigeants et 44 t&eacute;l&eacute;travailleurs (employ&eacute;s &agrave; temps plein qui travaillent au moins trois jours &agrave; domicile) en France. 2 Donn&eacute;es des sinistres g&eacute;r&eacute;s par Willis Towers Watson. 3 &Eacute;tude Lucy 2021, r&eacute;alis&eacute;e par l&rsquo;Association des m&eacute;tiers du risque et de l&rsquo;assurance (AMRAE), avec le concours de huit grands courtiers.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Sécurité informatique

Quel avenir pour l'assurance cyber ?

L’assurance du risque cyber est devenu un casse-tête, pour les entreprises comme pour leurs assureurs. Pour sortir du cercle vicieux, les deux parties vont devoir s’adapter.

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous