En réaction à la recrudescence des cyberattaques, de plus en plus d’entreprises françaises optent pour une assurance spécialisée. Cependant, dans un marché qui est loin d’être mature, cette approche peut être un frein. Sauf pour les très grands groupes qui ont plus de moyens.
En 2021, plus d’une entreprise française sur deux (54%) est la cible d’une cyberattaque.
C’est le constat surprenant d’un récent rapport de la direction générale du Trésor. Ce rapport est consacré au développement de l’assurance contre les risques cyber. Les cyber-risques en constante évolution, étroitement liés à l’utilisation croissante des technologies numériques, peuvent être causés par des erreurs humaines. C’est également du à de véritables attaques informatiques au sein des entreprises ciblées. Les logiciels malveillants, les tentatives de phishing et autres rançongiciels font désormais pleinement partie des préoccupations de sécurité des entreprises. Ceci est vrai quel que soit leur type, taille ou domaine d’activité.
Les cyber-risques ont connu une croissance exponentielle. Tout ceci est encore aggravé par les crises sanitaires, le télétravail ou la guerre en Ukraine. Mais paradoxalement, il n’y a pas eu une augmentation similaire de la couverture de ces risques spécifiques. Toujours selon le Trésor, le risque cyber ne représente aujourd’hui que 3% des cotisations en assurance dommage des professionnels.
Comment expliquer ce décalage ?
Tout d’abord, cela tient aux difficultés souvent rencontrées par les entreprises pour appréhender ce risque particulier. C’est un constat qui vaut surtout pour les PME en France, où seules 0,0026% des entreprises sont actuellement assurées contre les risques cyber, contre 87% pour les grandes entreprises. Les réticences sont également normales du côté des assureurs, avec des volumes de sinistralité triplant entre 2019 et 2020, avec un ratio sinistres/primes de 167%, contre 84% l’année précédente. Pour ces derniers, cela ne va pas, d’autant plus que les cyberattaques ont tendance à se propager. Non seulement les systèmes informatiques d’une entreprise cible sont affectés, mais la réputation, les cours de bourse ou leurs parts de marché peuvent également être touchés.
En témoigne la perte de 250 millions de dollars de Saint-Gobain suite à une cyberattaque en 2017. Autant d’éléments qui font du risque cyber un domaine d’expertise particulier, faisant de la cyberassurance un modèle d’assurance industrialisé particulièrement complexe.
Dans un rapport publié en octobre, la députée Valeria Faure-Muntian notait que le marché français de la cyberassurance restait à structurer. Parallèlement, plusieurs grands groupes ont décidé de franchir eux-mêmes le pas en créant leurs propres compagnies d’assurance contre les risques cyber. Du coup, Airbus, Michelin, Veolia, Sonepar ou encore l’allemand BASF ont annoncé fin septembre leur intention de centraliser le risque cyber dans une nouvelle structure baptisée Miris. Ils insistent d’ailleurs sur le fait qu’elle n’ait pas vocation à se substituer aux compagnies d’assurance mais plutôt à sécuriser leur assurance. “Nous ne voulons pas remplacer les compagnies d’assurances”, a plaidé le représentant d’Airbus, “mais coopérer en complétant leurs offres disponibles par de la coassurance”. Les membres fondateurs de Miris ont apporté chacun 5 millions d’euros, les assurances individuelles pouvant atteindre 25 millions d’euros.
Oui ou non à l’intervention de la réglementation
Cependant, l’initiative doit encore obtenir l’approbation réglementaire et leurs concepteurs espèrent publier leurs premières polices au début de 2023. Elle témoigne à la fois d’un sentiment d’urgence et d’une certaine nervosité du gouvernement. Car face à l’attentisme des assureurs, les acteurs économiques tentent de rassurer. Cette situation en est ubuesque.
A court terme, cependant, des solutions peuvent venir d’arrangements entre assureurs français et réassureurs étrangers. On mise ainsi sur l’internationalisation pour couvrir les risques transfrontaliers, comme c’est souvent le cas avec les risques cyber. Par exemple, la fusion de la mutuelle française Covéa (MAAF, GMF, MMA) et du réassureur bermudien PartnerRe, qui développe une vision globale de ces risques transfrontaliers. Cela permettra aux leaders mutualistes français de s’appuyer sur l’exposition internationale de PartnerRe pour assurer ses clients qui sont à l’abri des cyberattaques.
Des questions qui restent sans réponses
Or, de nombreuses questions restent sans réponse. Notamment, mais pas exclusivement, sur l’étendue de cette couverture d’assurance cyber : par exemple, doivent-ils payer une éventuelle rançon ? Au sein des assureurs et au sein de la classe politique, les avis sont partagés. Ainsi, l’Anssi (Agence nationale de la sécurité des systèmes d’information) pense que les assureurs qui payent les rançons financent la cybercriminalité. Valeria Faure-Muntian, quant à elle, va jusqu’à penser que le mieux, dans le pire, serait « l’interdiction pour les assureurs de garantir, de couvrir ou d’indemniser la rançon ».
Ainsi, deux écoles s’affrontent dans l’éventualité de rendre obligatoire l’assurance cyber. D’un côté, Valeria Faure-Muntian voudrait obliger les entreprises qui ont des missions avec l’Etat de s’y assurer. Alors que qu’Amanda Maréchal, de l’assureur pro QBE pense au contraire, que contraindre ces entreprises les amènerait à se « déresponsabiliser » de leurs efforts de lutte contre la cybercriminalité. Conclusion, on avance … sans avancer
212assurances – 03 décembre 2022
(source article RudeBaguette, site anglophone sur la FrenchTech)
