[DOSSIER] Dossier : #Spécial Fraude 7/9

Le cyberespace décuple les risques (Spécial fraude)

Le cyberespace décuple les risques (Spécial fraude)

Le cyberespace est un amplificateur de la délinquance et engendre des sinistres nombreux, aux montants parfois faramineux. Face à ce risque nouveau et mouvant, les assureurs, dans leurs habits de pionniers, hésitent entre enthousiasme et inquiétude.

Espionnage, chantage, vol, interruption d’une activité commerciale ou industrielle... : dans le cyberespace, les noms des délits nous sont familiers, mais les montants engendrés par ces sinistres donnent le tournis. Ainsi, l’enseigne de distribution américaine Target, qui a subi un piratage à la veille de Noël 2013, a chiffré son pré­judice entre 250 et 350 M\$… et n’aurait récupéré que 90 M\$.

La tendance est à l’enlèvement de données

1%

Pour la souscription de contrats cyber-risques, la franchise est actuellement estimée à 1% du capital investi.

13,2 M€

Le coût annuel supporté par chaque entreprise de l’énergie, pour les dommages commis par les cybercriminels, selon une étude réalisée par le Poneman Institute pour HP..

3%

Part moyenne d’une prime de cyberassurance dans le budget de sécurité informatique d’une entreprise.

2,5 Md$

Les primes souscrites en 2014, dont 2,2 Md$ aux Etats-Unis et environ 165 M$ en Europe. Le marché est estimé à 5 Md$ d’ici à 2020.
« Le cyberespace est un amplificateur de la délinquance », affirmait Martin Watin-Audouard, général de la Gendarmerie nationale, le 4 juin, lors d’une conférence sur le cyber-risque organisée par le courtier Verspieren. Exemple avec les chantages sur Internet, qui se multiplient. En mars, après avoir attaqué une banque en Suisse ainsi qu’un opérateur français des télécoms et même une enseigne de vente de pizzas à domicile, le groupe de hackers Rex Mundi, spécialisé dans le chantage en ligne, a volé les données concernant 15 000 clients d’un laboratoire d’analyses sanguines, dont 11 résultats d’examens. Ces cybertruands ont ensuite demandé une rançon de 20 000 € à l’entreprise, qui a refusé de se plier à cette exigence, expliquant qu’accepter de payer constituerait une véritable incitation au renouvellement de telles pratiques. « L’un des secteurs les plus exposés en ce moment est la santé, car les données récoltées rapportent beaucoup à la revente », commente Astrid-Marie Pirson, expert sinistres technologies, médias, télécoms chez l’assureur Hiscox. Outre les laboratoires, cette spécialiste cite aussi les cabinets médicaux ou les cliniques comme étant particulièrement vulnérables à ce type de pratiques frauduleuses.

Un faible niveau de primes souscrites

La facture d’un piratage grimpe vite. Un assureur du marché français cite ainsi un sinistre à 80 000 €, alors même qu’aucune donnée n’avait été compromise. « Dernièrement, l’un de nos clients, un site qui fait de la réservation en ligne dans plusieurs pays, nous a interpellés en nous expliquant avoir remarqué des anomalies dans son back-office. Nous avons donc dépêché un expert chez l’assuré et chez son hébergeur. Nous avons repéré chez ce prestataire des ordinateurs zombies [contrôlés à l’insu de l’utilisateur par un cybercriminel, NDLR]. Le réseau de notre client était donc menacé, même si l’attaque n’avait pas encore abouti. Nous avons pris en charge la perte d’exploitation de notre assuré, car le site a dû fermer quelques jours, les frais d’expertise de son système informatique et, enfin, les honoraires de l’agence de communication qui l’a aidé à gérer son image. »

L’addition est généralement salée. Or, on observe sur ce risque une disproportion entre les sinistres potentiels et les volumes de primes récoltés. Le marché des risques dits cyber donne clairement le vertige aux réassureurs parce qu’il bouscule leurs règles de prudence, avec une concentration géographique et une accumulation des sinistres potentiels et simultanés dans différentes branches. Le dernier scénario catastrophe étudié par le Lloyd’s (lire encadré), premier marché mondial d’assurance et de réassurance, évalue ainsi l’ensemble des répercussions économiques d’une coupure d’électricité dans treize États américains plus Washington DC à 1 000 Md\$. « C’est un défi à relever », confirme Ivo Hux, directeur général Europe, Moyen-Orient et Afrique de Swiss Re.

Le vertige vient aussi du faible niveau des primes souscrites en 2014 sur ce marché naissant : 2,5 Md\$, dont 2,2 provenant du marché américain et seulement 165 M\$ en Europe. On comprend donc aisément que l’attaque de TV5 Monde en avril 2015, non assurée mais estimée à 30 M€ par le secteur, a fait frissonner les assureurs français. Il est nécessaire que les entreprises partagent leurs données sur les cyber­attaques pour alimenter un vivier de données actuarielles fiables bien que fraîches.

Une réelle inquiétude sur les capacités

D’autant que ce marché des cyber-risques, apparu en France il y a trois ans, évolue : il pourrait doubler d’ici à 2020. « Le monde de l’IARD n’a pas vu une telle opportunité depuis vingt ans, assure Lucien Mounier, responsable produit cyber d’AIG France. Avec l’évolution de la réglementation [sur les notifications, NDLR], nous sommes persuadés que dans les deux à quatre prochaines années, il y aura une croissance fulgurante et une évolution très importante des couvertures. »

Cette opportunité est d’autant plus espérée que la matière assurable sur des risques plus classiques se contracte, notamment en raison de l’évolution des comportements des consommateurs et d’une érosion des tarifs en IARD des entreprises. Actuel­lement, le Lloyd’s affiche des capacités d’environ 340 M\$ (220 M£). « Sur les très grands risques, Il y a une réflexion de fond à mener sur l’importance de se regrouper en pool d’assureurs, avec l’aide des États et de fonds dédiés, car aucun acteur ne peut assurer seul les plus grandes entreprises », explique Astrid-Marie Pirson, qui rappelle que les Gafa (Google, Amazon, Facebook, Apple) se posent la question de l’autoassurance. « En matière de prévention, je pense que les business angels et les sociétés d’investissement peuvent jouer un rôle central de pres­cripteur afin d’encourager les entreprises à avoir une véritable gestion proactive de ce risque. » En moyenne, une prime de cyber-assurance représente entre 2 et 4 % du budget de sécurité IT d’une entreprise.

Kadidja Sinz, directrice générale pour la France et l’europe continentale de XL Catlin : «Nous étudions plusieurs dossiers par semaine»

  • Quelles sont les couvertures contre les cyber-risques ?

Nous avons, d’une part, des garanties dommages pour couvrir les pertes d’exploitation, les frais de reconstitution de données et de notification et, d’autre part, des garanties de responsabilité civile pour couvrir l’entreprise vis-à-vis de tiers. Nous renforçons également des garanties existantes pour d’autres branches. La couverture cyber reste une question individualisée en fonction de l’entreprise et de son environnement.

  • Quels sont les délais de décision pour la souscription ?

Les contrats cyber sont longs à mettre en place en raison du volume de données à récolter auprès du service informatique renseignant sur l’exposition au risque de l’entreprise et des délais de négociation avec le responsable des assurances pour trouver la couverture adéquate. Le premier contrat mis en place en France a ainsi nécessité dix-huit mois de négociation. Nous étudions aujourd’hui plusieurs dossiers par semaine, et les délais de prise de décision raccourcissent. Mais ces couvertures nécessitent un dialogue continu, car l’exposition de nos assurés évolue.

  • Quelles sont les évolutions à anticiper ?

Il y en a deux principales. La première concerne notre capacité à accompagner nos assurés en gestion de crise et de la réputation de leur entreprise. La deuxième est liée aux structures interconnectées de nos assurés. Nous devons réfléchir au-delà du cadre strictement défini de cyber-risque et utiliser la notion de « risque digital » pour englober la mise à mal de toutes les données d’une entreprise.

Propos recueillis par Haude-Marie Thomas.

 

Attaque du réseau électrique américain : un scénario à 1 000 Md$

Le dernier scénario catastrophe élaboré par le Lloyd’s pour aider ses souscripteurs à envisager les risques émergents imagine la mise hors service d’une partie du réseau électrique américain. Cette menace a déjà été soulevée par le président Barack Obama lors de son discours sur l’état de l’Union en 2013. Nous sommes au cœur du mois de juillet sur la façade nord-est des États-Unis, avec des climatiseurs fonctionnant 24 heures sur 24 et des équipes de maintenance électrique qui tournent au ralenti, lorsqu’un groupe de hackers arrive à la phase finale d’une attaque préparée depuis de longs mois. Un malware infiltré dans 70 générateurs est activé et 50 installations sont rapidement mises hors service. D’autres générateurs électriques, intacts, sont mis hors service par les opérateurs le temps de comprendre d’où vient le problème. Au total, Washington DC et 15 États sont brusquement plongés dans le noir, laissant 93 millions d’habitants sans électricité et des centaines d’entreprises et d’usines, contribuant pour 32 % à l’économie du pays, à l’arrêt. Pour les assureurs, la facture s’élèverait à 21,4 Md$ d’indemnisations, et même à 71,1 Md$ dans le pire des cas. L’impact sur l’économie américaine est estimé à 243 Md$ et pourrait atteindre 1 000 Md$ dans le cas le plus extrême...

Les sociétés d’investissement peuvent jouer un rôle central de prescripteur afin d’encourager les entreprises à avoir une véritable gestion proactive des cyber-risques

Astrid-Marie Pirson, expert sinistres chez Hiscox

Le monde de l’IARD n’a pas vu une telle opportunité depuis vingt ans.

Lucien Mounier, responsable produit cyber d’AIG France

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 17 septembre 2021

ÉDITION DU 17 septembre 2021 Je consulte

Emploi

Assurances Mutuelles de Picardie

RESPONSABLE POLE SINISTRES H/F

Postuler

CEA Assurances

Chargé de développement H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Désignation d'un Commissaire aux comptes 2022-2027

Nantes Métropole Habitat, OPH de la Métropole Nantaise

17 septembre

44 - NANTES METROPOLE HABITAT

Prestation de DPO (Data Privacy Officer) externalisée.

Agence Nationale des Fréquences

17 septembre

94 - ANFR

Marché d'assurances.

Ville de Plombières les Bains

17 septembre

88 - PLOMBIERES LES BAINS

Proposé par   Marchés Online

Commentaires

Le cyberespace décuple les risques (Spécial fraude)

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié