INTERVIEW - Pour News Assurances Pro, Sophie Farhane (Head of Cyber Local Risk & Financial Lines) et Laurie Auray (Lead Underwriter Cyber France) reviennent sur l’approche des risques cyber chez HDI Global SE (en France et dans le monde) et sur leur vision d’un marché où le taux d’équipement des petites et moyennes entreprises est encore faible.

Quelles capacités peut proposer aujourd’hui HDI Global SE sur le risque cyber (en France et dans le monde) ?

Laurie Auray – En France, HDI est un acteur d’excess (pas de point d’attachement minimum), pour les sociétés dont le chiffre d’affaires sera supérieur à 1Md euros et dont la qualité du risque présentée se trouve déjà avancée et structurée. En ce qui concerne la capacité déployée, elle sera dans la majorité des cas de 5M d’euros, cependant, aujourd’hui, HDI France est en mesure d’accorder jusqu’à 10M d’euros (sans sous-limites). Nous gardons notre identité, et réservons cette possibilité aux clients dont la qualité de risque est reconnue et évaluée comme excellente.

Sophie Farhane – Au niveau du groupe nous sommes aussi alignés sur cette capacité déployée. Nous pouvons souligner que nous avons dans de rares cas la possibilité d’apporter une capacité de 15M en considérant la qualité du risque, ainsi que la couverture accordée. Nous pouvons aussi nous positionner en primary. Notre focus premier restant la qualité du risque. Raison pour laquelle, indépendamment de la capacité déployée, nos clients doivent respecter certains pré-requis que nous appelons « minimal requirements » afin de pouvoir disposer d’une couverture d’assurance.

Ce risque fait-il la part belle à la coassurance ou est-il encore possible d’être apériteur en cyber ?

LA – En France, nous pouvons observer les deux pratiques. Je dirais que la taille du risque, la qualité ainsi que la capacité recherchée vont en grande partie conditionner la structure du programme. Aujourd’hui, il est courant de voir des lignes de primary en apérition à hauteur de 10M d’euros, cela sur les segments upper middle market et large accounts et ensuite de voir des lignes d’excess en apérition ou en co-assurance avec des capacités moyennes déployées allant de 5M à 10M euros.

SF – Je partage la réponse de Laurie. Le marché international est aussi en constante évolution. On observe encore beaucoup de lignes en coassurance, même si le changement de marché amène de plus en plus de primary en apérition.

Le faible taux d’équipement cyber des PME/ETI est-il encore une difficulté ou une opportunité pour les porteurs de risques aujourd’hui ?

LA – Il me semble que les deux approches puissent être assimilées à de bonnes réponses. En effet, ce segment souffre d’une majorité de risque à faible maturité. Ce qui par définition va créer de la difficulté pour un certain nombre de porteurs de risques en les exposants à une sinistralité probable importante. Néanmoins, la demande et la prise de conscience des entreprises de types PME/ETI méritent de l’intérêt et un accompagnement. Ce qui peut être perçu comme une opportunité. Peut-être que pour optimiser les chances de faire de cette approche un succès, il est nécessaire de prendre le temps de structurer la réponse à cette demande grandissante en y adaptant l’ensemble du processus de souscription, les services additionnels proposés d’accompagnement, l’approche tarifaire et les conditions auxquelles les couvertures sont accordées.

SF – Le faible niveau d'équipement cyber des PME représente à la fois une difficulté et une opportunité pour les porteurs de risques aujourd'hui. Pour nous, assureurs, c'est un défi d'évaluer et de tarifer les risques associés à une cybersécurité inadéquate. D'un autre côté, les assureurs ont la possibilité de développer des produits d'assurance sur mesure, spécialement conçus pour répondre aux besoins de ce segment qui n'ont peut-être pas les ressources nécessaires en interne pour investir dans des mesures de cybersécurité robustes. Chez HDI nous prenons ce challenge comme une opportunité pour accompagner cette typologie de client vers un niveau de cyber sécurité suffisant. Nous leur proposons ce que nous appelons des « Value Added Services », des mises en relations avec des prestataires qualifiés pour mettre à niveau leur cybersécurité dans différents domaines (l’authentification multi-facteur, les campagnes de phishing ou la mise en place d’un EDR). Nous sommes aussi en mesure de proposer un accompagnement personnalisé avec nos ingénieurs informatiques, l’objectif étant encore une fois d’améliorer leur système informatique et d’être mieux préparé aux risques cyber.

Certaines entreprises restent-elles complexes à assurer sur ce risque ? Pour quelles raisons ?

LA – L’environnement de manière général est complexe. Certaines activités rendent les expositions en effet assez difficiles à appréhender et cela notamment si nous essayons de quantifier les accumulations au sein d’une pluralité de risques appartenant à un même portefeuille.

Les courtiers sont-ils en mesure d’appréhender correctement le risque cyber avant de s’adresser à vous ?

LA – En France, les principaux courtiers sont à ce jour structurés et organisés pour accompagner leurs clients dans la démarche de se protéger contre les expositions cyber. Nous pouvons voir que certains courtiers n’hésitent pas à s’équiper d’ingénieurs spécialisés en cybersécurité, ou encore en créant des partenariats avec des prestataires IT.  Ils veulent être en mesure de proposer ces services à leurs clients afin de les rendre assurables pour certains ou en leur permettant d’améliorer la qualité de risque pour d’autres dans le but d’acheter davantage de capacités ou à de meilleures conditions tarifaires / de couvertures.

Le marché du cyber est-il vraiment « drivé » par l’appétit de la réassurance ?

SF – Le marché cyber doit prendre en compte de nombreux facteurs tels que la sophistication croissante des cyberattaques, l'augmentation de la demande de nouvelles technologies et de nouveaux services, ainsi que l'évolution du paysage réglementaire, la réassurance n'étant que l'un d'entre eux.

Le sujet du paiement des rançons par les assureurs diffère suivant les pays. Qu’elle est la bonne position à adopter ?

LA – Il faut rappeler que la proportion de rançons payées au regard du nombre d’attaques est aujourd’hui infime. L’idée est d’accompagner une entreprise touchée vers la reprise de son activité de manière rapide et sécuritaire. Travailler autour du sujet des back-up prend alors toute son importance, par exemple.

SF – En complément du commentaire de Laurie, le paiement de la rançon n’a jamais été la philosophie des assureurs, ce n’est que le dernier recours.

La communication plus « débridée » autour des attaques permet-elle désormais une meilleure prise de conscience du risque ?

LA – Aujourd’hui, nous pouvons voir peut-être davantage d’informations à ce sujet qu’auparavant. Ce qui peut générer une prise de conscience sûrement plus importante auprès des dirigeants des PME et ETI de l’importance de se prémunir contre ces risques. Alors que du côté du segment « large corporate », nous pouvons observer lors des roadshows, des discussions ouvertes sur la gestion de ces incidents qui sont inévitables au quotidien et une certaine résilience face à ces derniers qu’ils maîtrisent et monitorent beaucoup mieux qu’il y a 2 à 3 ans par exemple.

SF – Nous reconnaissons que la parole s’est libérée sur les attaques cyber à tous les niveaux, tout le monde communique plus sur ce sujet et c’est une excellente nouvelle. On voit de plus en plus d’alerte sur des failles de sécurité, ce que nous soutenons. Chez HDI Global SE nous avons aussi mis en place des mails d’alerte que nous envoyons à nos courtiers et clients avec le même objectif : prévenir, informer et anticiper une potentielle attaque.