L’assurance cyber, pourquoi fait-elle peur aux assureurs ?

Le risque cyber, un des plus grands ennemis des assurances ? C’est en tout cas la conclusion tirée par le Forum économique mondial de Davos ainsi que par France Assureurs et elle n’est pas sans raison : environ 1 000 entreprises belges et une entreprise française sur deux ont été touchées par des attaques cyber en 2021. Malgré ce constat, la situation peut devenir encore plus critique : d’un point de vue de l’assurance auto, la voiture autonome et la voiture connectée peuvent avoir un impact conséquent sur cette dernière et dans une approche plus futuriste et globale, l’ampleur du métavers aussi. Le marché des assurances cyber ne semble pourtant pas se développer à la même vitesse.

État des lieux

Alors que le marché des assurances cyber a vu le jour dès les années 2000 de l’autre côté de l’Atlantique, sur le marché européen et plus particulièrement en France et en Belgique, ce marché peine à prendre ses marques.

L’offre de ce type de contrat destiné aux professionnels existe depuis 5 ans en Belgique et en France. Les quelques clients actuels sont principalement parmi les grandes multinationales et, dans une moindre mesure, parmi les petites et moyennes entreprises, ainsi que quelques entreprises cibles comme les professions libérales. Du côté des assureurs, ils sont très peu nombreux à proposer une couverture cyber. De plus, la Wallonie propose moins de contrats de ce type qu’ailleurs en Belgique. La couverture contre les risques cyber se présente sous deux formes : soit elle est rattachée à une responsabilité civile ou une protection juridique, ou bien elle existe en tant que police d’assurance à part entière.

En France, en 2021, le marché de l’assurance dommages des professionnels totalisait 185 millions d’euros pour les primes cyber (Source : AMRAE). Cependant, le rapport Lucy 2022 de l’AMRAE, mentionne que les offres d’assurances cyber ne correspondent aux attentes des grandes entreprises, notamment dû aux montants élevés des franchises. Au vu de ce constat, même si ce marché est porté par les quelques multinationales qui en sont actuellement clientes, celles qui ne sont pas encore clientes ne le deviennent pas et préfèrent s’assurer seules ou dans des groupes de mutuelles d’assurance, comme nous allons le voir plus loin.

 

« Les offres d’assurances cyber ne correspondent aux attentes des grandes entreprises, notamment dû aux montants élevés des franchises. »

 

 

En ce qui concerne les spécificités du contrat d’assurance cyber, diverses clauses peuvent en faire l’objet. Une clause d’exclusion des pertes engendrées par une attaque lorsque celle-ci occasionne un effet de catastrophe pour l’Etat attaqué doit être mentionnée. Des clauses excluant des pertes provenant d’une guerre, si le contrat ne dispose pas de clause d’exclusion pour de tels conflits, sont également mentionnées. Cependant, comme le souligne la Direction du Trésor, l’implémentation et l’effectivité de ces clauses ne sont pas toujours évidentes. C’est particulièrement le cas lorsque le terme de cyberguerre n’est pas clairement défini juridiquement et que la sinistralité de l’assuré n’est pas clairement définie si l’origine de l’attaque ne peut l’être.

Dangers d’une attaque cyber

Les types d’attaques cyber sont de plus en plus diversifiées. Parmi celles-ci, on peut retrouver des malwares et ransomwares, ainsi que le vol d’identité. Par ailleurs, pour un plus grand impact sur l’image ou la finance de l’entreprise, le vol d’identité est la meilleure arme des attaquants. Les menaces d’une attaque cyber sont diverses et engendrent des dommages conséquents pour une entreprise : frais liés aux conséquences immédiates de l’incident, que ce soit la gestion de l’incident ou les pertes financières de l’entreprise, les dommages matériels et l’engagement de la responsabilité civile de l’entreprise. De plus, la perte d’exploitation, ainsi que l’arrêt de l’activité sont les principaux risques majeurs. De ce fait, le risque cyber est considéré comme un risque opérationnel par bon nombre d’assureurs.

Une autre menace qui inquiète les entreprises, et par conséquent, les assureurs, est le paiement d’une rançon, pouvant aller jusqu’à 500 000€. Cependant, le sujet de la rançon fait débat au sein de l’hexagone, notamment parce qu’une assurance qui offre au sein de son contrat une clause en faveur du paiement de la rançon est perçue comme favorisant les cybercriminels à commettre de tels actes.  À cet égard, le Ministère de l’Économie français a récemment publié un rapport précisant le droit des assurés à demander le paiement de cette rançon par l’assureur, sans que cela ne constitue un devoir pour l’assureur. Partant de cette situation, il est préférable en tant qu’assureur d’accompagner ses assurés autant que possible dans le cas d’une attaque cyber, sans pour autant payer la rançon.

 Pourquoi ce marché se développe lentement ?

Que ce soit en Belgique ou en France, les assureurs sont méfiants car il existe très peu de données statistiques sur le risque cyber. Son évolution rapide ne permet pas une adaptation évidente, d’autant plus dans un environnement encore très peu connu et peu maîtrisable.

Évaluer le risque financier, voilà une barrière pour les assureurs, notamment en raison du manque de données. En France, une des causes du mauvais développement de ce marché est due à la balance entre la valeur des primes et la valeur des dommages calculés : en effet, en 2020, les assureurs français ont compatibilisé 217 millions d’euros de dommages pour 126 millions d’euros de primes (source : AMRAE), ce qui cause un déficit pour ceux-ci. Le coût des dommages pour une entreprise victime d’une attaque cyber est particulièrement difficile à chiffrer pour deux raisons. La première est l’interdépendance des systèmes informatiques dans notre société, qui est à l’origine des phénomènes d’accumulation comme le précise Olivier Lopez, Directeur de l’Institut de Statistique de l’Université de Paris, lors de cet entretien. La deuxième concerne le chiffre noir, c’est-à-dire l’écart entre les actes d’attaque cyber connues et les actes réels, qui provient de la peur des victimes en ce qui concerne les conséquences sur leur réputation.

Il est également très difficile d’anticiper les dommages de ce genre d’attaque, notamment car une attaque peut avoir plusieurs cibles : même si cela reste très rare, cela peut arriver dans le cadre d’une attaque contre plusieurs États. Par ailleurs, malgré la rareté de ce type de cas, cette éventuelle attaque visant différentes cibles simultanément, effraie les assureurs. Dès lors, et en raison du nombre d’attaques de plus en plus nombreuses, les primes des assurances sont élevées, alors que l’offre n’est déjà pas très développée. De ce fait, le marché de l’assurance cyber ne peut évoluer. À cela s’ajoute des compagnies d’assurance sélectives dans le choix du type de profils clients car elles sont soucieuses de leur solvabilité, un manque de connaissance des produits en cyber assurance et une sous-estimation de l’importance de ces cyberattaques, surtout pour les PME.

 

« Le cadre juridique des contrats d’assurance cyber n’est pas suffisamment clair, que ce soit pour l’assureur ou pour l’assuré. »

 

 

Ce qui empêche également le bon développement du marché cyber est lié à sa propre structure. En effet, le cadre juridique des contrats d’assurance cyber n’est pas suffisamment clair, que ce soit pour l’assureur ou pour l’assuré. La couverture « silencieuse », qui implique que le risque cyber est couvert par des contrats IARD mais dont les assureurs et assurés n’ont pas connaissance, ou encore des garanties implicites existent. (Du point de vue des assurés, cette couverture peut être bénéfique car elle est inclue dans ce type de contrat. Cependant, étant donné qu’ils ignorent qu’elle existe, ils ne l’activent pas et cette dernière n’est pas incluse dans le calcul de la prime. Pour les compagnies d’assurance, cette pratique est dangereuse, notamment car l’assureur peut être confronté à un risque imprévu s’il ne prend pas en compte la conséquence réelle du risque dans le calcul de la prime. Par conséquent, la couverture des contrats d’assurance n’étant pas toujours claire pour l’assuré, moins de polices à ces contrats sont souscrites. De plus, l’imprécision de la couverture « silencieuse » peut impacter de façon négative la solvabilité de l’assureur). À ce sujet, suite à la publication de l’EIOPA, l’ACPR encourage fortement les assureurs à « examiner lensemble des garanties contenues dans leurs contrats par rapport aux risques cyber et, le cas échéant, à clarifier et à rendre plus explicites les formulations des termes et conditions des polices en ce qui concerne la couverture ou lexclusion de ces risques, pour permettre une offre exempte d’ambiguïté vis-à-vis des preneurs dassurance ».

Comme mentionné plus haut, la rançon a des répercussions sur le développement du marché, car certains contrats la couvrent , alors que d’autres ne le font pas. Cette garantie peut avoir un effet non-désiré : l’augmentation des cyber-attaques. Cependant, la fédération des assureurs Assuralia affirme que cette garantie constitue un avantage pour les assurés, et ne devrait pas leurs engendrer de crainte: en étant couvertes contre les rançons, les entreprises assurées bénéficient de l’aide d’experts qui peuvent déchiffrer ces demandes de rançon et donc éclairer le client sur celle-ci.

Enfin, la prise en charge ou non des sanctions administratives, par exemple en cas de non-notification de violation des données, à l’égard des entreprises victimes d’une attaque cyber par les assurances occasionne des craintes auprès des entreprises qui voudraient éventuellement souscrire à de tels contrats. Dans ce cas de figure, cela peut être pris en charge par l’assureur, contrairement à l’amende pénale. De plus, certains contrats d’assurance peuvent inclure une indemnisation concernant les frais engendrés par la mise en place d’une communication de crise par l’entreprise victime.

Pas à pas, les efforts se poursuivent…

Malgré le contexte géopolitique actuel, des mesures sont prises dans le marché de l’assurance pour développer davantage l’ assurance cyber. En France, le Ministre de l’Économie propose la mise en place d’un groupe de travail pour définir ce qu’est une cyberguerre afin d’établir d’éventuelles exclusions légales aux contrats. De plus, l’ACPR et France Assureurs étudieront les principales clauses du marché pour améliorer le niveau d’information des assurés et ont pour ambition de créer un observatoire de la cybercriminalité afin de solutionner la pénurie de données. En Belgique, Assuralia estime qu’une collaboration entre le secteur public et les assureurs pourrait permettre un meilleur développement de ce marché, avec l’intervention du Centre for Cyber Security, qui a pour principales missions de sensibiliser les citoyens à ce danger et d’aider les victimes.

Au niveau européen, l’EIOPA  estime que la création d’une base de données européennes de signalement d’ attaques cyber fondée sur une taxonomie commune peut permettre au secteur assurantiel d’améliorer ses évaluations et sa collecte de données afin que ces types de risques puissent être mesurés, surveillés et gérés de manière adéquate.

En tout cas, si les assureurs ne suivent pas, certaines entreprises (Airbus, Veolia et Adeao) ont anticipé un futur désastre en créant une mutuelle sur le territoire belge, Miris Insurance, pour couvrir le risque d’attaques cyber. Elle est toujours en attente d’approbation auprès du régulateur belge, mais elle devrait être opérationnelle avant le 1er janvier 2023.

Cette prise de position par de grands groupes met davantage en évidence la gestion de l’assurance  cyber par les assureurs. Le constat est sans appel : il est primordial que les compagnies d’assurance répondent à ce défi de façon plus claire car elles prennent le risque que d’autres acteurs, comme Miris, deviennent indispensables dans ce marché. Enfin, des mutuelles d’assurance comme Miris pourraient se développer et proposer des produits d’assurance concurrentiels et éventuellement plus attractifs.

Le sujet de l’assurance cyber est donc un sujet primordial à traiter par les compagnies d’assurance, sous peine de créer un désavantage pour ces dernières.

Sources :