Risque cyber : La crise a éveillé les consciences
La crise sanitaire, la hausse du télétravail, le faible taux d’équipement et les couvertures silencieuses ont révélé l’urgence qui se cache derrière le risque cyber.
Rançonnage, vols de données, systèmes informatiques piratés, employés mal formés aux risques … La plateforme gouvernementale qui lutte contre la cyber malveillance a connu une hausse de fréquentation de 600% lors du premier confinement. Les entreprises ont été 20% plus nombreuses à faire une demande d’assistance par rapport à 2019. Accélérée par la montée du télétravail, la cyber criminalité continue de croître, tandis qu’acteurs et institutions revoient leurs engagements.
En France, près d’une entreprise sur deux a été ciblée par une cyber attaque en 2020. Bien que le télétravail soit perçu comme un risque supplémentaire, Frédéric Rousseau, responsable de marché cyber pour Hiscox, estime que « la crise sanitaire a eu au moins un effet vertueux ». Selon lui, les entreprises ont pris conscience de l’importance de leurs patrimoines numériques. « La crise sanitaire a prouvé que le risque cyber n’était pas un risque managé correctement - à tel point que les fonds propres des entreprises ont été mis à mal », commente Valeria Faure-Muntian, députée et présidente du groupe d’étude assurances de l’Assemblée nationale. Les entreprises ont consacré en moyenne 21% de leurs budgets informatiques à la cyber sécurité en 2020, contre moins de 13% en 2019.
Des assureurs trop peu prudents
C’est à la suite de travaux menés par le club des juristes au courant de l’été 2017 que des problématiques telles que les couvertures silencieuses et la maîtrise du cumul des engagements ont été mises en avant. L’ACPR en publie un communiqué dès novembre 2019, appelant à la vigilance des assureurs vis-à-vis des garanties visant à couvrir les cyber menaces. « Les contrats dédiés au cyber risque sont pour le moment peu développés, les organismes ne mesurent pas encore suffisamment leurs expositions, notamment à travers les garanties implicites contenues dans les contrats en cours », indique la note.
Selon un proche du dossier, suite à l’appel de l’Autorité de contrôle prudentiel et de résolution, les assureurs français ont « fait le ménage dans leurs contrats ». Le manque de maîtrise et de connaissance au regard du contenu des portefeuilles aurait créé des tensions sur le marché. « Ils ont conscience que ça peut leur exploser à la figure à tout moment », commente une source proche du dossier. La crise sanitaire aura monopolisé l’attention des assureurs en 2020, une raison qui pourrait expliquer les répercussions tardives dès fin 2019 par les assureurs. « Le travail de prévention est prioritaire, il y a eu un retournement en 2020 avec la crise sanitaire. Nous nous sommes rendus compte de l’importance du travail à faire sur les ‘silent cover’. Aujourd’hui, il faut une meilleure analyse du risque et souscrire une cyber assurance comme on souscrit un risque incendie », indique Christophe Delcamp, directeur adjoint des assurances de biens et responsabilité à la FFA. En effet, l’encaissement des primes cyber représente 135M d’euros aujourd’hui, contre 60Mds d’euros pour l’assurance non-vie, preuve que le marché de la cyber assurance a encore du chemin à faire.
Sous le feu des critiques
Le sujet des couvertures silencieuses n’est cependant pas l’unique critique à laquelle les assureurs ont dû faire face récemment. La multiplication des attaques et le rançongiciel comme une des méthodes favorites des pirates a suscité des polémiques sur le sujet des remboursements des rançons jusqu’au Sénat. Ce dernier a auditionné, en avril dernier, Joahnna Brousse qui dirige la section cybercriminalité du Parquet de Paris et Guillaume Poupard, directeur de l’ANSSI, déjà présent lors de la première réunion sur le cyber en 2015.
Lors de cette audition, les inquiétudes ont porté sur la sécurité, comme le financement du terrorisme et le risque d’accroissement des attaques en cas de remboursement des rançons. De plus, en garantissant les rançons, les assureurs tendent à se dédouaner de la garantie de perte d’exploitation selon Guillaume Poupard. Le manque à gagner pour une entreprise victime d’une cyber attaque s’établit dans la plupart des cas à des sommes plus importantes que le remboursement de la rançon. Pointés du doigt, la réaction des assureurs ne s’est pas fait attendre. Seulement 15 jours après cette audition, l’assureur Axa a suspendu la commercialisation de sa garantie optionnelle cyber rançonnage.
Selon un rapport de l’AMRAE, les grandes entreprises peuvent s’attendre à une augmentation des primes à hauteur de 20 à 50% en 2021. Le niveau des franchises se voit, lui aussi, revalorisé. Dans le cadre de nouvelles garanties, ils pourraient augmenter jusqu’à 25%. Toujours selon le rapport, certains clients vont jusqu’à demander une augmentation du niveaux des franchises, dans le but d’absorber une part de la hausse des primes.
Les réassureurs en stand by
« Généralement les assureurs rencontrent des risques soit d’intensité, soit de fréquence, dans le cas du cyber, et surtout en ce moment, cela peut être les deux à la fois », commente Frédéric Rousseau d’Hiscox. « L’accroissement de la sinistralité incite à une grande prudence (…), avec le risque cyber on est sur un risque avec des caractéristiques systémiques. La définition du risque a besoin d’être plus précise puisqu’il y a une évolution permanente. Les cyber terroristes sont toujours plus intelligents et les assureurs et réassureurs se retrouvent rapidement avec des sinistres qu’ils ne connaissaient même pas », indique Nicolas Boudias, délégué général de l’Association des professionnels de la réassurance en France (Apref). Sur le marché, certains acteurs se repositionnent et redéfinissent leurs prises en charge en plafonnant une capacité maximale à 15M d’euros par risque et par ligne, selon le rapport de l’AMRAE. De ce fait, les acteurs de ligne en excess sont poussés à revoir leurs capacités en les limitant entre 5 à 10M d’euros. « Les réassureurs ont des fonds propres limités, s’ils ne sont pas suffisants à un moment donné alors il faudra faire appel à l’État, mais nous n’en sommes pas encore là », conclut Nicolas Boudias.
De nouvelles perspectives
« Aujourd’hui, il y a de la demande et il n’y a pas assez d’offre sur le marché », juge Valeria Faure-Muntian. Des concertations sont aujourd’hui en cours auprès des assureurs, réassureurs et acteurs du secteur dans le but de rendre dès l’automne, une proposition à destination de la profession et de l’exécutif. « Le moment est extrêmement propice, la crise sanitaire a permis un changement de culture vis-à-vis de ce sujet. Le management des risques cyber parlait à peu d’acteurs jusqu’à maintenant. Les chefs d’entreprise et les collectivités sont aujourd’hui sensibilisés. Le débat sur les pertes d’exploitations sans dommage au moment du premier confinement a poussé les chefs d’entreprise à réfléchir à leurs couvertures et à des risques connexes dont le cyber fait partie », explique Valeria Faure-Muntian.
De son côté, la FFA considère les travaux de prévention, de couverture et l’assurabilité des rançons et des amendes administratives comme prioritaires. Le règlement général sur la protection des données (RGPD) et la directive Nis permettent aujourd’hui à la CNIL d’imposer une amende à l’entreprise en cas de fuite de données. Les règlementations européennes, entrées en vigueur en 2018, posent aujourd’hui des questions juridiques sur le sol français, « les juristes se penchent sur la question de l’assurabilité de ces amendes », précise Christophe Delcamp.
L’Eiopa a annoncé en février 2020 son intention de mettre en place de futures actions en matière de souscription et de gestion du risque cyber. Depuis, le gendarme européen a publié des directives permettant d’améliorer la résilience opérationnelle des entreprises, en fournissant une clarification et une transparence aux acteurs du marché sur les capacités minimales attendues en matière d'information et de cyber sécurité.
L’autorité européenne avait également la volonté de mettre en place une taxonomie harmonisée de déclaration des incidents cyber pour étayer la modélisation de la souscription de ces risques. Pour cela, elle souhaitait s’enrichir des expériences des pays étrangers, comme les États-Unis, ardemment touchés par les cyber attaques. En effet, « à travers des benchmarks obtenus auprès d’Insurance Europe, la FFA n’a pas senti que le sujet de la cyber menace était aussi important dans le reste de l’Europe. Il y a une réelle montée en puissance aux États-Unis avec, récemment, une prise de parole du FBI, de l’État de New York et de l’OFAC rappelant que les entreprises financières pouvaient être sanctionnées si elles assuraient des rançons dans le cadre de la lutte anti-blanchiment », conclut Christophe Delcamp. On constate tout de même qu’aucune loi contre le paiement des rançons n’a été voté de l’autre côté de l’Atlantique.
À voir aussi
Cat Nat : Un système de prise en charge européen à l'étude
Cat Nat : L’Eiopa souhaite créer un score de risque
Transition climatique : Des pertes financières limitées pour les assureurs