En 2019, en France, c’est le risque cyber qui est classé numéro 1 des inquiétudes des entreprises (source : baromètre de l’assureur Allianz Global Corporate & Specialty). L’augmentation des risques de cybersécurité associée à une demande en hausse de cyber assurances représentent à la fois un risque et une opportunité pour les assureurs. Une chose est sûre, le marché de la cyber-assurance est aujourd’hui en plein essor en France.
Qu’est-ce qu’une cyber-attaque ?
- « Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. »
- « Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminalité, l’atteinte à l’image, l’espionnage, le sabotage. »
(Source : gouvernement.fr)
En 2017, deux virus ont touché des millions d’ordinateurs dans le monde : Wannacry et NotPeyta. Ces deux « ransomware » (logiciel rançon) bloquaient les données de l’ordinateur en les cryptant tant qu’une rançon n’avait pas été versée. A l’époque des entreprises européennes, américaines et même françaises ont affirmé avoir été touchées (Saint-Gobain, SNCF, Auchan…).
En 2018, les scandales de non-respect de la confidentialité, du stockage des données et les questions de défaillances informatiques ont encore renforcé les inquiétudes liées aux cyber attaques.
Selon la 3ème édition du baromètre annuel du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) * :
- 92% des entreprises interrogées ont reconnu avoir subi une ou plusieurs attaques
- Depuis un an, une entreprise sur deux constate une augmentation de 48 % du nombre d’attaques
- 1/4 d’entre elles ont constaté des impacts sur le business
Un marché nord-américain mieux encadré
WannaCry, Petya, ou les incidents informatiques à répétition de ces dernières années sont autant de cris d’alarmes qui ont incité les grandes structures à se couvrir contre le cyber-risque. Pourtant, le taux de pénétration du marché de la garantie cyber reste encore en dessous des espérances. Si on regarde du côté du marché nord-américain, on constate que l’assurance cyber génère dix fois plus de primes qu’en Europe. Serait-ce parce que l’arsenal législatif et punitif mis en place outre-Atlantique depuis des décennies a été sans commune mesure avec celui des Etats Européens ?
En plaçant le consommateur plutôt que les droits fondamentaux de l’individu au cœur de leur système juridique, les Etats-Unis ont sacralisé les données de ces derniers et les sanctions en cas de non-respect de la loi se chiffrent en millions de dollars. Du Freedom Privacy Act de 1965, au Privacy Act des années 2000 en passant par le Gramm-Leach-Bliley, Act le législateur américain n’a cessé de protéger les données de leurs concitoyens.
Mécaniquement les entreprises nord-américaines ont transféré ces risques à des assureurs permettant la naissance d’un marché de plus de 3 Md $ de prime. Pourrait-on appliquer ce raisonnement à la mise en place de la RGPD (Règlement Général de la Protection des Données) en Europe ? Oui. Nombreux sont les clients qui demandent si les potentielles amendes administratives sont couvertes dans les polices cyber, et bien que cela pose une question morale, la réponse est bien oui.
Un marché français en pleine mutation
Aujourd’hui, les entreprises prennent en compte les cyber risques actuels et implémentent de nombreuses solutions techniques. Cependant, s’il existe beaucoup de systèmes de protection sur le marché, ils ne sont pas toujours adaptés aux besoins et aux contraintes des entreprises.
C’est pourquoi implémenter des solutions techniques n’est plus suffisant pour se protéger. Si les entreprises achètent aujourd’hui des antivirus et autres solutions de protection, en 2018 elles ont surtout beaucoup souscrit à des cyber-assurances. Ajouté à cela les sanctions liées au RGPD, les entreprises ont fait le choix de s’assurer.
Et pour toutes les entreprises qui n’auraient pas encore trouvé de solution d’assurance adaptée, la directive sur la sécurité des réseaux et des systèmes d’information (Network and Information Security, NIS) qui était en cours de transposition en France en 2018, devrait les pousser à sérieusement s’intéresser au sujet.
Affaire à suivre…
*les résultats de l'étude effectuée en 2018 portent sur un échantillon de 142 répondants
À voir aussi
Dora : L’Eiopa publie le second lot de normes techniques
Cercle marketing et relation client : Retour sur la troisième réunion (2023-2024)
Cercle marketing et relation client : Retour sur la deuxième réunion (2023-2024)
Explosion rue de Trévise : Les difficultés des victimes avec les assurances