[DOSSIER] Risques cyber 4/5

Assurance des risques cyber : un marché en phase d'expérimentation

Assurance des risques cyber : un marché en phase d'expérimentation
FOTOLIA

En cyber, la concordance de l’offre et de la demande passe par des propositions de garanties adaptées aux besoins des entreprises et à leurs moyens financiers. Sur ce risque jeune, l’hétérogénéité des propositions est frappante.

La première question suscitée par les garanties cyber est la forme qu’elles prennent. Les assureurs proposent des solutions globales, mais les grandes entreprises, premières souscriptrices de ces couvertures, sont plus habituées au sur-mesure. « On peut couvrir les risques cyber avec des polices de premier rang ou avec des extensions dans d’autres polices déjà en place (RC, Dommages, etc.), en différence de limites voire en diffé­rence de conditions d’autres polices. Cette seconde solution coûte un peu moins cher pour le client, mais en cas d’incident elle impli­que de traiter avec plusieurs assureurs, ce qui peut perturber la gestion de la crise et le règlement du sinistre donc in fine coûter plus cher…. », détaille Guillaume Deschamps, directeur du département Finex (lignes financières) chez Gras Savoye. L’argument finan­cier immédiat pèse toutefois lourd dans la balance. En effet, la souscription d’une police cyber, comme tout nouveau risque, nécessite la création d’une ligne budgétaire nouvelle pour les entreprises. Plusieurs assureurs voient revenir des clients, assurés depuis deux ans, par exemple, désireux d’augmenter leurs capacités. « Le coût impor­tant d’une police dédiée peut être difficile à faire valider en une seule fois auprès de la direction des achats », confirme Sophie Parisot, souscriptrice cyber chez AIG. Une appro­che graduelle est donc souvent adoptée chez les grands comptes.

Que couvre l’assurance ?

La deuxième question est celle de la délimitation du périmètre. Six ans après l’arrivée des premières polices, le risque cyber dispose d’un cœur de garanties établi en dommages et responsabilité civi­le, combiné à des services de gestion de crise. Cela couvre les dommages matériels aux systè­mes d’information et les domma­ges immatériels, à savoir altération, indisponibilité et divul­­gation des données. Ensui­te, chaque acteur propose une sensibilité différente, notamment sur l’origine et les conséquences couvertes par une atteinte aux données et au système d’information. « Il est probable que sous la pression, notamment des réassu­reurs, les contrats évoluent assez vite, en RC comme en domma­ges, avec un certain nombre d’exclusions pour clarifier les textes et éviter les doublons », signale Xavier Leproux, responsable cyber chez Chubb. La seule constante est l’importance des garanties RC, sur une police dédiée, pour les entreprises opérant avec des clients ou prestataires nord-américains. « Certains ne prennent une police dédiée que pour se conformer à la réglementation nord-américaine. Moi, je préfère me battre pour expliquer ma vision à mes interlocuteurs », constate un risk manager d’une entreprise internationale, fortement exposée aux risques cyber. Les courtiers proposent parfois d’acheter une capacité dédiée à hauteur de 10 M\$, la limite fixée par les États-Unis, pour disposer d’une attestation (ndlr : preuve à valeur juridique que le client est bien assuré), avant d’élaborer la couverture sur mesure souhaitée.

Assez naturellement en raison de sa typologie de clients, AGCS propose une approche plus industrielle avec un focus sur les pertes d’exploitation. AIG, l’un des premiers acteurs à propo­ser une police dans ce domai­ne en France grâce à son expérience nord-américaine, prépare l’élargissement de sa solution cyber avec la version 3 prévue pour le courant du mois de juillet. Actuellement, l’assureur propose déjà une couverture qui ne se limite plus aux actes malveillants, mais englobe toutes les attaques au système informatique d’une entreprise. « La version 3 poursuivra cette lancée. Nous allons, par exemple, étendre notre couverture au piratage des lignes téléphoniques qui peut occa­sionner des sinistres allant jusqu’à 30 000 €, soit un sinistre particulièrement menaçant pour les petites entreprises. Ce type de piratage pouvait jusque-là être couvert par une police fraude, mais c’était loin d’être systématique. Nous allons aussi étendre le déclenchement de certaines garanties », annonce Sophie Parisot, souscriptrice cyber. Le dernier arrivé, Liberty, qui a choisi d’élargir sa garantie fraude à une couverture cyber, a longtemps hésité avant de se positionner. « Nous pensions que ce risque était déjà en grande partie couvert par les garanties existantes sur d’autres polices. Mais nous avons réalisé que de plus en plus de polices classi­ques excluaient le détournement informatique, nous avons observé une forte demande de la part des courtiers et enfin nous avons noté une certaine incompréhension des clients sur la couverture de ce risque. Nous voulions également éviter les trous de garanties et limi­ter les dépenses », résume Olivier Muraire, directeur général France et Europe du Sud de Liberty Mutual. La solution, destinée à des PME et des ETI, permet de modérer la prime en combi­nant deux garanties. « Notre multirisque financière équivaut à environ 125/130 % d’une police RCMS et passe à 150 % avec le cyber. Sachant que les primes RCMS ne sont pas d’un montant colossal, nous restons sur des montants raisonnables », précise Olivier Muraire. Sachant que pour l’assureur, cela correspond également à un seul montant de capital engagé. Mais si l’hétérogénéité des solutions proposées est signe que le marché est dynamique, elle peut virer au casse-tête pour le courtage.

Un montage par briques

La diversité des couvertures proposées laisse parfois perplexes les courtiers qui regrettent un manque de clarté et un potentiel affaiblissement des garanties existantes en raison des doublons. « On ne peut pas mettre tous les malheurs du monde dans une solution ! » déplore l’un d’eux. « L’hétérogénéité des textes (des wordings) ne favorise pas le montage d’une coassurance », commen­te Robert Leblanc, président d’Aon France. Pour plus de clarté, Marsh a donc mis en place son propre texte, qui délimite le périmètre du risque cyber aux seuls actes malveillants.

Luc Vignancour, directeur adjoint Finpro & Risques Spéciaux chez Marsh France, précise toutefois que la partie accidentelle peut être ajoutée en option. L’idée étant de trouver un compro­mis satisfaisant pour tous. De son côté, Siaci Saint Honoré, préfère combiner les approches proposées. « Le marché cyber, non mature par définition, répond difficilement sur la base d’intercalaires courtiers. Nous préférons adapter le texte du leader retenu aux besoins des entre­prises clientes », témoigne Mickael Robart, directeur lignes financières pour Siaci Saint Honoré. « Avec le cyber, il faut arrêter de raisonner par produit, insiste-t-il. Il est préférable d’organiser un programme dont chaque brique répondra à un risque de l’entreprise. » Il estime que l’apériteur ne doit pas être celui qui propose la couverture la plus large, mais celle qui correspond le mieux aux problématiques de l’assuré et qui aura un effet entraînant auprès des autres assureurs en confiance avec son approche. Comme tout risque émergent, le risque cyber est en phase de personnalisation, avec une démarche secteur par secteur pour s’adapter aux besoins des entreprises comme à l’appétit des assureurs. « Le risque cyber doit être appréhendé par secteurs d’activités, avec une adaptation spécifique du fait des problématiques particulières pour chaque secteur », confirme Alain Ronot, risk manager, qui participe aux commissions thématiques de l’Amrae comme de l’Apref. Cette dernière organisation prépare, par exemple, une note dédiée aux risques spécifiques aux transports.

Le casse-tête de la tarification

Actuellement, les primes les plus basses et celles les plus hautes se tiennent dans un mouchoir de poche, avec des prix, en valeur absolue, qui restent élevés. Le cabinet d’audit PwC a comparé le cyber avec la responsabilité civile et la différence est marquante : pour la RC, l’écart de prix peut être d’un rapport de 9,1 entre les polices les moins chères et les 75 % les plus chères, cet écart n’est que de 1,7 sur les polices risques cyber. Cette difficulté de tarification des offres s’explique par la jeunesse du marché et donc le manque de données historiques sur les sinistres, la réticence des entreprises à partager l’information sur l’impact des cyber-attaques subies, et l’évolution rapide et continue des nouvelles technologies. « De plus, les cyber-attaques n’ont pas toutes les mêmes conséquences sur les systèmes qu’elles affectent, précise PwC. Ces conséquences varient en fonction de la façon dont les entreprises et les particuliers utilisent leurs systèmes d’information. Au final, il n’existe pas de “modèle universel” de risque encouru. » D’où la difficile tarification de ce risque très technique.

Les capacités du marché sont-elles suffisantes ?

La capacité théorique du marché français est estimée à 500 M€. Cependant, elle ne prend pas en compte les capacités potentiellement apportées sur les autres branches, via les extensions cyber. En pratique, les capacités effectivement demandées sont bien en deçà. « Il est encore rare de voir un programme d’assurance dépasser les 100 M€ », remarque Iouri Goloubtzoff, souscripteur risques financiers chez AGCS. Pour les dossiers extrêmes comme ceux des Gafa (Google, Amazon, Facebook et Apple), le marché fait pour l’instant un constat d’impuissance. « Certains pensent que l’assurance seule ne pourra pas atteindre une capacité suffisante, même mondiale, pour supporter un sinistre chez les géants du web et que ceux-ci devront donc se tourner vers une autre solution : l’auto-assurance, le recours à des fonds d’investissement, aux États, etc. », indique Astrid-Marie Pirson, expert sinistres TMT (technologie, média, télécom) chez Hiscox.

L’enjeu de la gestion de crise

Les assureurs ont l’habitude de proposer des services en complément de leurs garanties, mais avec le risque cyber, ce volet prend une nouvelle dimension. Les compagnies sont très attendues sur leur rapidité en matière de gestion de crise afin de limiter les conséquences d’un sinistre. Pour cela, ils font appel à des ressources externes. De grands groupes se sont déjà rapprochés, tels Allianz et Thales ou Axa et Airbus. Beazley s’est différencié en proposant très vite la gestion de crise via une cellule dédiée, en interne.

Une cyber-réassurance encore à inventer

Jusqu’à présent, la cession du risque cyber, quand elle a lieu, se fait pour l’essentiel par extension des traités de RC professionnelle ou via quelques quotes-parts (réassurance proportionnelle) pour accompagner le développement de cédantes sur ce segment. Mais en l’absence de tailles de portefeuilles suffisantes, de modélisations crédibles et de scénarios de cumuls de risques, la réassurance du cyber reste à écrire. « À terme, les cédantes sortiront de la logique de la réassurance facultative [NDLR : réassurance basée sur des opérations individuelles] ou de traités quote-part standards », souligne l’Apref. Et d’ajouter : « Lorsque l’on appréhende le cyber-risk, nous ne sommes plus sur un produit, mais sur un risque transverse, global dans lequel il pourrait être envisagé des couvertures de réassurance dites umbrella, couvrant l’ensemble de l’activité de l’entreprise. Cette évolution de marché prendra toutefois plusieurs années. »

François Beaume, risk manager et responsable de la commission systèmes d’information à l’Amrae (association pour le managment des risques et des assurances en entreprises)
« Un risque qui ne dispose pas encore d’une définition harmonisée »

  • Pourquoi avoir décidé de lancer une réflexion sur la souscription du risque cyber ?
    Nous avons souhaité établir une méthodologie, en ciblant des chemins critiques, car nous observons une importante déperdition d’énergie sur l’analyse du risque cyber. En effet, il est nécessaire de solliciter un grand nombre d’interlocuteurs au sein d’une entreprise. Et c’est un risque qui ne dispose pas encore d’une définition harmonisée à l’échelle du marché de l’assurance.
  • Quelles en sont les conséquences ?
    Pour les grands comptes, les polices cyber standard ne s’intègrent pas forcément au dispositif assurantiel déjà en place. Toutefois, les risk managers sont intéressés par les solutions les moins morcelées possibles pour bénéficier d’une continuité de services en cas de sinistre. Il existe un problème de contenu sur le risque cyber qui ne s’articule pas encore forcément avec les couvertures existantes sur les différentes branches et les besoins des entreprises.
    Propos recueillis par H.-M. T.

 

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Proposé par   Marchés Online

Commentaires

Assurance des risques cyber : un marché en phase d'expérimentation

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié