La cyber-assurance est une forme d’assurance conçue pour protéger une entreprise contre les dommages causés par les menaces de cybersécurité. Il s’agit d’un risque qui s’étend et mute au rythme de la technologie et apparaît comme étant le risque principal parmi les risques émergents[1] pour les organismes d’assurance et de réassurance. A titre d’exemple, parmi les menaces figurent :
- Les violations de données ;
- Les hacks ;
- Les attaques par déni de service distribué (attaques DDoS[2]) ;
- Les logiciels malveillants ;
- Les ransomwares.
Aujourd’hui, toutes les entreprises sans exception sont concernées par le cyber risque et doivent se préparer à y faire face. Bien qu’il n’y ait pour l’instant pas de normes au niveau de la souscription des contrats, la couverture du risque cyber en France se présente principalement sous deux formes :
Les garanties implicites : il s’agit de garanties pour lesquelles les contrats d’assurance ne visent pas de façon formelle les risques cybers comme fait générateur mais ils sont susceptibles de les couvrir. C’est par exemple le cas pour la garantie Multirisque Professionnelle qui indemnise les pertes d’exploitations et implicitement les cybers attaques. Ces garanties implicites sont parfois qualifiées de « couvertures silencieuses » en raison du manque de clarté et de visibilité dans les contrats à ce jour.
Les garanties explicites : comme son nom l’indique, il s’agit de garanties spécifiques mentionnées dans les contrats et qui prennent en charge les risques cybers. A titre d’exemple, il peut s’agir de garanties protégeant les activités d’une entreprise contre les pertes d’exploitation ou encore de garanties prenant en charge les sinistres liés aux atteintes à la sécurité des données personnelles. Dans tous les cas de figures, l’assureur indique explicitement les règles de souscription, d’indemnisation et de prévention.
Le risque cyber en quelques chiffres
Dans le monde
La cybersécurité au niveau mondial, c’est une attaque toutes les 39 secondes[3] et un coût moyen s’élevant à 3,1 millions d’euros. Le montant des primes collectées dans le monde s’établit à 3 milliards d’euros. Etant le pays le plus touché par les cyberattaques, les Etats-Unis concentrent à eux seuls 85 à 90 % de ces primes. Au niveau européen, les primes se situent entre 500 et 700 millions d’euros, sur lesquels la France ne représente que 80 millions d’euros.
En France
Avec la pandémie de la Covid-19, le coût moyen de l’ensemble des cybers attaques en France a atteint[4] le niveau abyssal de 35 millions d’euros en 2020 contre 9 millions 2019, soit une forte augmentation de 289%. Dans sa dernière étude[5], le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) indique que 65% des entreprises françaises déclarent avoir subi au moins une attaque durant les douze derniers mois. Cette étude révèle également que le Phishing[6] demeure le moyen d’attaque le plus fréquent et a affecté 79% des entreprises française en 2019.
Les faits marquants de l’année 2020
La pandémie de la Covid-19 a bouleversé le mode de fonctionnent de nombreuses entreprises notamment par le biais du télétravail. A cela s’ajoute la mise en place du confinement qui a eu pour conséquence de faire grimper la hausse du temps passé en ligne, offrant ainsi aux criminels de nouvelles opportunités d’exploiter toutes les vulnérabilités de sécurité créées par cette pandémie. La Covid-19 a été une opportunité pour les cybers criminels, comme le montre l’étude[7] réalisé par Tend Micro sur le 1er semestre 2020 :
La France est le deuxième pays européen où cette attaque a le plus sévi. Ces menaces se composaient de courriels, de liens internet et de fichiers malveillants en lien direct avec la Covid-19. Ainsi, la sinistralité en France ne s’est pas améliorée par rapport à l’année 2019, bien au contraire elle ne cesse de se dégrader[8] : on enregistre une augmentation des attaques de 400% en 2020. Pour mémoire, la sinistralité cyber en 2019 avait augmenté de 210% par rapport à 2018.
Les perspectives 2021
La crise sanitaire actuelle a créé des changements durables dans les environnements de travail à travers le monde et ouvre ainsi de nouvelles voies aux cybercriminels. On estime que les dommages liés à la cybercriminalité s’élèveront de 15% d’une année sur l’autre au cours des 5 prochaines années, pour atteindre[9] 10,5 milliards de dollars (soit 8,5 milliards d’euros) d’ici 2025.
Etant donné l’exposition croissante des entreprises françaises aux risques cyber, l’Autorité de contrôle prudentiel et de résolution (ACPR) invite[10] fortement les différents acteurs du marché à procéder à une évaluation claire et précise de leurs portefeuilles avec une attention particulière aux garanties implicites. Elle recommande également la mise en place progressive d’une base de données recensant les attaques cyber à des fins purement actuariels (par exemple tarifer au plus juste les contrats cyber risque). Le régulateur propose enfin d’inclure le risque cyber dans le rapport ORSA.
L’enjeu lié à la modélisation du risque cyber est de taille puisqu’à ce jour le marché français ne dispose que d’un nombre limité de données, rendant ainsi caduque les techniques classiques de modélisation actuarielle. La modélisation du risque cyber devra désormais se reposer sur des modèles prédictifs sophistiqués et des volumes de données importants[11]. Certaines méthodes comme les stress tests ou le cyber-rating constituent un réel outil d’aide à la décision et sont en cours de développement[12]. Aussi, les assureurs peuvent transférer une partie ou la totalité de leurs risques via un traité de réassurance en quote-part. Enfin, la mise en application de bonnes pratiques peut limiter les risques de cyberattaques. Dans cette perspective, l’Etat français préconise[13] de nombreuses actions comme par exemple un renforcement du système de sécurité informatique ou encore la mise en place de compagne de sensibilisation auprès des entreprises.
Les risques cyber, et les enjeux de données et de modélisation qui y sont rattachés, deviennent partie intégrante des réflexions que les assureurs doivent mener. Dans cette optique, il peut être opportun d’être accompagné sur ce sujet. Les consultants de GALEA accompagnent plusieurs acteurs sur les réflexions sous-jacentes aux travaux d’analyse des risques et de leurs modèles dans le cadre de l’ORSA notamment.
[1] Voir le baromètre FAA (statistiques risques émergents 2019 avec projection)
[2] Distributed Denial of Service attack DDoS
[3] Voir https://www.varonis.com/blog/cybersecurity-statistics/
[6] Il s’agit d’une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles en se faisant passer pour un tiers de confiance
[8] Source : cybermalveillance.gouv.fr
[9] Source : Cybersecurity Ventures, https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
[10] Voir le communiqué ACPR du 12/11/2019
[11] Voir la revue d’économie financière, 2019/3 (N° 135), p. 245-256
[12] Voir l’étude du Forum des Compétences : https://www.forum-des-competences.org/assets/files/cyber-rating-livre-blanc.pdf
[13] Source : https://www.gouvernement.fr/risques/conseils-aux-usagers