Marie Drecq, consultante Gouvernance Risques Conformité chez Synetis, revient sur les limites des cyber-assurances. Aujourd’hui, le risque cyber est source d’interrogation et d’inquiétude pour la grande majorité des organisations – tant il est omniprésent. La question n’est plus de savoir si on va se faire attaquer mais quand, et de connaître les conséquences que cela pourrait entraîner sur son organisation. En ce sens, le dernier rapport de l’assureur allemand Munich Re montre que 61 % des entreprises françaises estiment se sentir concernées par le risque cyber, contre seulement 45 % pour nos voisins allemands. Ces chiffres sont d’autant plus impactant que ce risque cyber est, par nature, particulièrement difficile à quantifier et donc à mitiger.
C’est pour tenter de répondre à ce casse-tête que de plus en plus d’organisations décident de transférer la charge du risque – au moins sur le plan financier – auprès d’une assurance. Néanmoins, force est de constater que le bilan de ces premières années d’assurabilité reste assez mitigé tant le risque cyber dépend d’une multiplicité d’enjeux. Le marché peine à se réguler et une absence de standardisation des acteurs se fait sentir.
Une difficulté systémique à estimer le risque cyber, volatile par nature
Le risque cyber est volatile par nature ; pour cette raison, son évaluation financière et le calcul de sa probabilité d’occurrence sont très difficiles à déterminer avec précision. Cette complexité est vraie pour les entreprises, comme pour les assureurs.
A lire aussi : Faut-il doter son entreprise d’une assurance cyber ?
En tant qu’acteurs économiques, les assureurs sont contraints de proposer des offres permettant d’atteindre un seuil de rentabilité entre sinistres indemnisés et primes perçues. Or, anticiper le coût d’un sinistre est très variable d’une année sur l’autre, et dépend de facteurs exogènes difficilement appréhendables et contrôlables. L’absence de standardisation des contrats d’assurances cyber a eu tendance à conduire les assureurs à surévaluer le montant des primes, et à proposer des contrats en moyenne 3 à 6 fois supérieurs aux contrats d’assurances professionnels classiques. Couplé au phénomène d’augmentation exponentielle du montant des primes d’une année sur l’autre, l’assurance cyber souffre désormais d’un déficit d’attractivité, en particulier auprès des TPE/PME et ETI.
Des conditions d’assurabilités strictes, facteur de désintéressement pour les assurés
Pour les entreprises et organisations, la gestion des risques dépend d’un processus stratégique basé sur l’identification des risques et des mesures de réduction, au regard du niveau de résilience de l’entreprise (en cas de survenance du risque). L’entreprise peut alors décider, selon son niveau d’acceptation du risque, de transférer ce risque vers un tiers qui en supportera la charge. En suivant ce raisonnement, le contrat d’assurance cyber doit – au moins – permettre à l’entreprise d’obtenir une indemnisation couvrant les frais dépassant le seuil de résilience financière qu’elle aura déterminé.
Aujourd’hui le constat est sans appel : les TPE/PME, pourtant les plus touchées par les cyber-attaques, renoncent à ce type d’assurance. En cause des conditions d’assurabilités contraignantes, et pas toujours claires quant au périmètre assurable, additionnées au montant des primes très élevé. L’assurance cyber devient alors insuffisamment rentable pour bon nombre d’entreprises comme l’a révélé le rapport du Haut Comité Juridique de la Place Financière de Paris (HCJP) sur l’assurabilité des risques cyber.
Les chiffres sont sans équivoque ; selon l’étude LUCY menée par l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), le taux de couverture des PME est de 0.2 % contre 9 % pour les ETI et 84 % pour les grandes entreprises – faute d’offres adéquates.
L’élargissement des clauses d’exclusion réduisant les garanties d’assurabilité
A l’origine, le risque cyber était inclus dans la plupart des contrats multirisques professionnels mais, face à l’évolution permanente de la menace cyber et des coûts associés, les assureurs ont préféré exclure le risque cyber de leurs contrats traditionnels pour proposer des contrats dédiés. Ces contrats spécifiques sont pour la plupart assortis de clauses d’exclusion, réduisant de facto la fenêtre de garantie. Ces exclusions étant, pour la plupart, le résultat de lignes directrices émises par les autorités françaises, européennes ou internationales, ayant laissé aux acteurs du secteur, une marge d’interprétation quant à l’application.
L’assurabilité des rançons est probablement la meilleure illustration de ce flou juridique existant, qui a mené les assureurs à prendre des mesures pour s’en protéger. Bien que les assureurs restent libres de décider – ou non – de les rembourser, on remarque une tendance globale des assureurs anglo-saxons à indemniser les rançons payées. Là où les assureurs européens sont plus réticents – suivant notamment l’avis des agences européennes pour la sécurité des Systèmes d’Information. Il faut rappeler qu’il est déconseillé de payer la rançon, faute de garanties suffisantes de récupérer ses données, et pour ne pas encourager les groupes de rançonneurs.
Il est d’ailleurs intéressant de voir les dérives et alternatives que cela génère. Par exemple, le nouveau groupe de rançonneurs HardBit demande désormais à sa victime son contrat d’assurance avant de fixer le montant de la rançon.
Même rengaine pour les amendes CNIL, infligées lors d’une violation du Règlement Général sur la Protection des Données (RGPD). Certains assureurs ont décidé de suivre le principe général d’exclusion, voulu par Bercy, en cessant de rembourser ces sanctions pécuniaires dont les montants peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial.
Dernier exemple en date, c’est le célèbre marché de l’assurance outre-Manche, Lloyd’s, qui a pris la décision d’exclure de ses garanties le remboursement des cyberattaques soutenues par un Etat, c’est-à-dire dans un contexte de guerre. Cette décision est intervenue en réaction à l’invasion russe en Ukraine, avec un conflit qui s’étend désormais également sur le théâtre du cyberespace.
La problématique de la franchise d’assurance
En complément des clauses d’exclusions dans les contrats, l’industrie de l’assurance est un marché redevenu rentable grâce au montant conséquent des franchises. Le montant des franchises, pour ces types de contrat, atteint en moyenne 4M€ pour les grandes entreprises et 228 000€ pour les ETI. Comme estimé par l’assureur Hiscox, le coût d’une cyberattaque s’élève entre 7 000€ pour les incidents mineurs, et plusieurs dizaines de millions d’euros pour les attaques de type ransomware et fuites de données. Le coût médian étant de 15 000 €. Avec une franchise bien supérieure à ces montants, la pertinence économique de la couverture assurantielle est très fortement réduite, ce qui participe à ce choix de renoncer à ces contrats.
Pour les entreprises assurées, cette franchise revient donc à exclure une majeure partie des incidents de sécurité et autres cyberattaques.
Avec un marché en maturation, mais de mieux en mieux maîtrisé par les compagnies d’assurances qui parviennent à contourer un risque en constante évolution, l’assurance cyber reste hors de portée des entreprises de petite et moyenne taille. Quant à l’avenir de ce type de contrat, sans une amélioration de l’offre proposée, restera exclus la plupart des acteurs économiques pourtant demandeurs de solutions. Seul rempart pour eux : investir dans leur cybersécurité en amont afin de réduire la surface d’attaque et de limiter les impacts des incidents de sécurité futurs.