Pour ne rien manquer, abonnez-vous à notre newsletter et recevez tous les mois les dernières actualités Bluebirds et des différents secteurs
Restons connectés
Restons connectés
Pour ne rien manquer, abonnez-vous à notre newsletter et recevez tous les mois les dernières actualités Bluebirds et des différents secteurs
Les cybers criminels lancent sans cesse de nouvelles attaques. Les cibles sont multiples et diverses (particuliers, TPE, PME, grandes entreprises et services publics).
Au-delà du type d’attaque, les risques de cyberattaques sont nombreux : vol de données, usurpation d’identité, piratage informatique, déni de service, etc. Et les conséquences opérationnelles et financières directes et indirectes sont importantes et peuvent mettre en péril une entreprise.
Bien que la sécurisation des systèmes d’information au sein d’une entreprise permette de limiter le nombre de vecteurs d’attaques et leurs conséquences, personne n’est à l’abri d’une attaque cyber exploitant une faille récente ou liée à une erreur humaine, ou l’action malveillante d’un employé.
Depuis quelques années, les assureurs ont développé une offre d’assurance pour couvrir ces nouveaux risques, qui peut être commercialisée sous forme d’assurance spécifique ou de couverture du risque intégrée dans certains contrats RC. En 2016, ce marché a représenté 45 M€ de primes et s’adresse principalement aux grandes entreprises. La part des PME représente seulement 2% à 4%.
Le marché français ne progresse pas aussi vite que celui d’outre-Atlantique ou chez nos voisins européens. Ce dernier n’a réellement décollé qu’en 2005, lorsque la notification d’atteinte de données personnelles des clients en cas de cyber attaque est devenue une obligation. Pour rappel, l’entrée en vigueur du RGPD en Europe entraîne aussi l’apparition d’amendes et de sanctions pouvant s’élever à 4% du chiffre d’affaires mondial consolidé, ou 20 millions d’euros en cas de violation de données à caractère personnel.
Par ailleurs, face à ce risque national, le gouvernement français a lancé, fin mai 2017, la plateforme cybermalveillance.gouv.fr ; dont la vocation est d’informer, aider les particuliers, les entreprises et les administrations victimes de cyberattaques en les mettant en relation avec des prestataires techniques.
La cyber assurance et les PME/TPE
La cybercriminalité est toujours considérée à tort comme un risque touchant uniquement les grandes entreprises. Le nombre de ces attaques s’est accru notamment lors de la crise sanitaire de la COVID 19 et a touché l’ensemble des secteurs d’activités et toutes les tailles d’entreprises.
Pour les PME, où la sécurité informatique est souvent moins mature, une cyber attaque a un taux de réussite plus important, avec des répercussions plus grandes que pour une grande entreprise, qui dispose de plus de moyens financiers et de main d’œuvre. Et ne parlons pas des TPE où l’expertise en informatique est proche de zéro.
La cyber assurance n’est pas la préoccupation majeure des chefs d’entreprise des PME ou TPE, car bien souvent ceux-ci ont une méconnaissance de ces risques, qui sont trop loin de leurs préoccupations opérationnelles du quotidien.
Et pour ceux qui sont assurés, selon une étude récente, 89% des courtiers en assurance estiment que leurs clients ne disposent pas d’une méthode adéquate pour mesurer le coût d’une violation de données.
Ces mêmes intermédiaires en assurance ont déclaré que les clients ne pouvaient pas mesurer adéquatement l’impact potentiel d’un événement de cyber extorsion (par exemple ransomware) : 83% des répondants estimaient que leurs clients ne pouvaient pas mesurer le coût d’une cyberattaque qui interrompt le service leurs opérations.
Et pour les assureurs la priorité n’est pas au marché de la PME/TPE par absence de données sur les risques à couvrir, et la faible mutualisation possible pour un même assureur.
Notre conviction
Dans ce contexte, comment accélérer le développement de l’offre de Cyber Assurance à destination des PME et TPE afin que chacun des acteurs puisse répondre à ces enjeux grandissants ?
Concernant l’offre, il n’existe pas vraiment de contrat dit « standard », et les couvertures possibles sont multiples : mise à disposition d’experts en cas de crise, frais de notification et d’indemnisation, couverture de pertes d’exploitation réelles et potentielles en cas d’interruption des activités, frais de récupération des données, … Ce qui ne facilite pas l’appropriation d’une telle offre par un chef d’entreprise, voire par les réseaux de distribution.
Les problématiques portent principalement sur :
La maturité du marché de la cyber assurance passera par la mise en place d’un projet commun au niveau de la profession. Ce projet aurait quatre objectifs :
Les assureurs doivent avoir la capacité d’analyser le risque de chaque entreprise à couvrir, de préciser les clauses d’exclusions spécifiques au secteur de l’entreprise et ceci de manière industrielle.
Pour ce faire, nous recommandons que l’intermédiaire en assurance puisse confier à une structure spécialisée l’évaluation du risque avec un outil de diagnostic standard et commun à la profession. Cette structure aurait pour mission d’auditer l’infrastructure informatique du client. A cet effet, elle aurait en charge les missions suivantes :
Une synthèse de cet audit serait transmise à l’intermédiaire en assurance pour tarification et rédaction des éventuelles réserves et/ou clauses d’exclusions complémentaires aux exclusions générales. Ces opérations d’audit pourraient être réalisées tous les ans afin de réévaluer le niveau de risque.
A chaque assureur de définir l’organisation qu’il souhaite mettre en place autour de cette structure spécialisée et d’établir le niveau de la prime.
Afin que cette industrialisation soit la plus complète et la plus optimale, il convient d’établir des normes et un référentiel commun à la profession. Il faut aussi coconstruire l’outil technique d’audit et être en capacité de centraliser les données d’audit afin de consolider l’ensemble des analyses.
Pour ce faire et afin d’optimiser les coûts d’un tel projet et de coordonner les travaux, il pourrait être envisagé de confier ces missions à une structure en lien direct avec la profession. La structure juridique pouvant être de type GIE ou associatif. Les organismes comme l’AGIRA, SINTIA, … la Fédération Française de l’Assurance (FFA) pourrait mettre en œuvre une telle structure, ou en confier les missions à un réseau de partenaires référencés/labellisés.
Par ailleurs, et dans un premier temps en attendant la maturité du marché, il pourrait être tout à fait envisageable de confier la gestion de ces contrats à cette même structure, voire de mettre en place un système de co-assurance sur des secteurs spécifiques.
Après cette phase d’industrialisation et de consolidation des risques, les assureurs seront prêts pour permettre une généralisation de cette assurance.
Toutes les conditions assurantielles, organisationnelles et financières seraient réunies en vue de généraliser cette assurance et la rendre obligatoire pour les entreprises. Néanmoins et assez rapidement, les assureurs devront définir les contours du contrat dit « standard » ou « réglementaire » afin de banaliser le produit. Cette généralisation à l’ensemble des professionnels permettra d’élargir l’assiette des cotisants et donc la solvabilité du risque.
Une cyber assurance obligatoire impliquera sûrement la mise en place d’un engagement de l’État pour la réassurance du secteur. Le projet aurait pour mission d’établir avec les pouvoirs public le niveau de ses engagements.
En conclusion
Le numérique est un facteur d’innovation majeur qui touche l’ensemble de vos clients de tous secteurs d’activité. Il crée de nouveaux espaces marchands, sociétaux et relationnels ; mais favorise incontestablement de nouveaux actes criminels, assurables s’ils sont mutualisés et construits sur la base d’un référentiel commun.
Pour ce faire le marché de la cyber assurance devrait croître rapidement si les assureurs arrivent à mettre en place une norme et une structure commune afin de collecter et analyser de manière détaillée les risques. Cette organisation deviendra un levier auprès des pouvoirs publics afin de rendre obligatoire cette assurance auprès des entreprises.
Bertrand BOUTOILLE
Consultant en stratégie et management, Expert du Secteur de du secteur de l’assurance et de la protection sociale.
Membre de la communauté NC Partners On Demand