Réassurance : le marché encore attentiste sur le cyber

Aurélie Abadie | 05/09/2019 à 15h59

Les réassureurs considèrent les cyberattaques comme le nouveau risque majeur, dont le potentiel est aussi dévastateur que les catastrophes naturelles. Pourtant, la réponse de l’industrie reste encore timide.

Bien plus coûteuse que l’ouragan Sandy de 2012 : si une catastrophe cyber venait à se produire, elle pourrait entraîner, au total, des pertes économiques comprises entre 85 Md$ et 193 Md$ (entre 76 et 173 Md€), selon le CyRiM (cyber risk management), une plateforme de recherche à laquelle participent Scor, Trans Re, le Lloyd’s, Aon et MSIG. Leur scénario, intitulé Bashe attack, fait l’hypothèse d’une cyberattaque de type ransomware (NDLR : logiciel de rançon ou d’extorsion en échange de données personnelles), coordonnée au niveau mondial sur des dizaines de milliers d’ordinateurs. Un coût envisagé 8 à 19 fois supérieur à celui estimé pour l’attaque NotPetya, qui avait fait la Une des journaux en juin 2017. Les pertes assurées, elles, seraient comprises entre 10 et 27 Md\$ (entre 9 et 24 Md€), selon la sévérité du scénario, soit seulement 9 à 14 % des pertes économiques ! Un protection gap qui constitue une opportunité majeure pour l’industrie.

12-13 mai 2017
Le virus Wanna Cry aurait paralysé, plus de 230 000 ordinateurs de multinationales et de services publics dans 150 pays. Parmi les victimes : Renault et FedEx, l’opérateur de télécoms espagnol Telefonica, la compagnie ferroviaire allemande Deutsche Bahn. Estimation des pertes économiques : 4 à 8 Md$
27 juin 2017
Le ransomware NotPetya a d’abord touché des banques, des aéroports et des structures gouvernementales en Ukraine, avant de frapper le géant pétrolier russe Rosneft, l’allemand Beiersdorf (Nivéa), Auchan, Saint-Gobain, le géant maritime Maersk, FedEx et le géant de l’agroalimentaire Mondelez. Facture totale estimée : 10 Md$, dont 3 Md$ de pertes assurées
21 février 2019
L’organisme international qui attribue les adresses Internet (Icann) avertit que des attaques visent des noms de domaine. Les sites gouvernementaux chypriotes, des Affaires étrangères des Émirats arabes unis et du ministère des Finances du Liban sont touchés, ainsi que le ministère des Affaires étrangères égyptien, l’aviation civile du Koweït, le ministère de la Défense égyptien, les services secrets d’Albanie et de Jordanie…

Un appétit contrôlé

Mais le marché reste, pour l’heure, de petite taille et les réassureurs prudents face à un risque évolutif et polymorphe, et donc difficile à appréhender. « étant donné qu’il n’y a pas encore eu de sinistre majeur, tous les grands réassureurs continentaux s’observent pour voir qui va essuyer les plâtres », observe un connaisseur du marché. Tandis que Warren Buffett, l’emblématique patron de Berkshire Hathaway, troisième réassureur mondial, met en garde contre « un territoire inexploré » et affiche son scepticisme sur la capacité de l’industrie à couvrir ce risque, d’autres se sont positionnés sur le marché dès l’accélération de la demande aux États-Unis, portée notamment par la réglementation en matière de données personnelles. « Nous sommes actifs sur le cyber depuis dix ans aux États-Unis et depuis plusieurs années en Europe, alors que d’autres disent encore qu’il s’agit d’un risque inassurable… remarque Bengt von Toll, responsable du cyber pour l’Europe et l’Amérique latine chez Munich Re. Pour les entreprises, il s’agit de l’un des risques majeurs. Donc, si nous ne trouvons pas de solutions, nous aurons échoué en tant qu’industrie ! » L’engagement de Munich Re reste toutefois mesuré. « Nous nous montrons prudents car nous voulons d’abord comprendre notre exposition au risque », concède Bengt von Toll. Même prudence chez Scor : « Nous montrons un appétit contrôlé et déployons notre capacité au fur et à mesure que notre compréhension du risque progresse », confie Didier Parsoire, responsable de la souscription pour les solutions cyber chez le réassureur français.

Si les réassureurs s’engagent moins que sur d’autres branches en dommages – et imposent des limites à leurs couvertures – c’est en raison de la grande incertitude qui persiste sur ce risque complexe à modéliser. « Les réassureurs sont très vigilants quant au risque d’accumulation, le risque cyber présentant un aspect systémique qui peut être colossal. En l’état actuel de la sinistralité constatée, il est par ailleurs difficile de se représenter le worst case scenario (le pire cas de figure) », analyse Valéry Leballeur, directeur juridique reinsurance solutions chez Aon France. Et ce, malgré les scénarios élaborés par les syndicats du Lloyd’s, les agences RMS et AIR – qui élargissent leur offre à la modélisation cyber cat’ – ainsi que les agences nées dans le giron de la cybersécurité telles Cyence et Cybercube (une émanation du fabricant d’antivirus Symantec).

6,4 Md$ de primes pour les couvertures affirmatives (explicites) en 2019
Source : CyRiM (cyber risk management project)
80 M€ de primes d’assurance cyber sur le marché français
Source : FFA, estimation 2018,

« Ces agences identifient des nœuds de corrélation, par exemple la standardisation des systèmes d’exploitation ou la concentration des fournisseurs de services cloud. Les scénarios élaborés sur cette base sont calibrés grâce aux dires d’experts ainsi qu’à des données collectées sur le type et la fréquence des attaques. Pour l’heure, le marché a une confiance relative dans ces modèles : c’est un des facteurs limitants pour l’essor des couvertures car le cyber est un risque à forte propension au cumul », précise Didier Parsoire.

Les TPE / PME à la traîne

Mais « les plus gros obstacles au développement du marché sont à chercher du côté de l’assurance primaire », relève Bengt von Toll, qui pointe « le manque de demande » ainsi que « le manque d’expertise et d’expérience des équipes commerciales et des réseaux de distribution ». Alors que les attaques Wanna Cry et NotPetya survenues en 2017 ont stimulé la demande des grandes entreprises – la quasi-totalité du CAC 40 serait aujourd’hui équipée, selon la Fédération française de l’assurance (FFA) – les TPE et PME, tout aussi vulnérables aux cyberattaques, sont très peu couvertes. Or l’entrée sur ce marché de la plus grande masse des entreprises est nécessaire pour mutualiser le risque. « Les plus petites entreprises font preuve de naïveté en pensant que seules les grandes sociétés peuvent être la cible des hackers, avertit Alexis Nardone, responsable du pôle nouvelles technologies et sécurité informatique chez GM Consultant. Leur niveau de maturité et d’information n’est pas aussi important, certaines d’entre elles n’ont même entamé aucune démarche en interne sur la cybersécurité. Stimuler la demande requiert du temps, de la pédagogie ainsi que de former les intermédiaires en assurance à ces enjeux. Pour un agent général, vendre une police cyber auprès de cette clientèle signifie aujourd’hui plus de travail pour une commission plus faible », explique-t-il.

Pour dégripper le marché, les réassureurs accompagnent leurs clients. « Nous les aidons à se doter des bons outils, notamment en matière de vente et de distribution », précise Bengt von Toll.

Dans l’Hexagone, des réassureurs comme Munich Re ou des assureurs grands risques comme AIG et Chubb ont accompagné la création du marché en fournissant à leurs clients des produits d’assurance, une plateforme de gestion post-incident ainsi que la couverture en réassurance. « Nous travaillons main dans la main avec nos clients dans un processus de cocréation », souligne Bengt von Toll. De même, Swiss Re met à disposition de ses clients des éléments afin de créer un produit d’assurance cyber : une police, un questionnaire de souscription pour les TPE-PME ainsi qu’une méthodologie d’analyse du risque, une approche de tarification et un accès à des prestataires de services (services juridiques, de notification, IT forensics qui opèrent la recherche des failles dans les systèmes…).

Réglementation, l’Europe à la suite des États-Unis

Aux États-Unis, le marché de la cyberassurance s’est développé dès le début des années 2000, sous l’effet notamment de la réglementation. En 2003, l’état de Californie a subi une cyberattaque qui a conduit à la divulgation des données sur les salaires des fonctionnaires. L’administration a adopté, en conséquence, le Data Breach Notification Act, introduisant l’obligation de notification des failles de sécurité. Une législation qui a ensuite été adoptée par d’autres états. De notre côté de l’Atlantique, la réglementation est apparue plus tardivement. Adoptée en juillet 2016 et transposée en droit français en 2018, la directive NIS (Network and information security) impose notamment aux états membres de l’UE de renforcer la cybersécurité des « opérateurs de services essentiels » et de notifier les incidents ayant un impact sur leur continuité. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises victimes de graves intrusions ou de cyberattaques à alerter, dans les 72 heures après la découverte d’une fuite de données personnelles, les personnes affectées et les autorités de leur pays, en l’occurrence en France la Cnil (Commission nationale informatique et libertés).

Cartographier les risques

Avec l’appui des réassureurs se sont ainsi développées sur le marché de l’assurance des couvertures « affirmatives », c’est-à-dire explicites, du risque cyber. L’une des problématiques réside, en effet, dans l’existence de couvertures dites « silencieuses », c’est-à-dire lorsque le cyber n’est pas explicitement exclu des contrats d’assurance existants.

Là encore, les réassureurs, contraints de connaître leur exposition aux risques, jouent un rôle incitatif auprès de leurs clients afin qu’ils réalisent cette cartographie. « Certains en font même un argument marketing », note Aon. Swiss Re met, par exemple, à disposition de ses clients sa Cyber analytics platform, qui facilite la gestion du portefeuille et permet d’identifier et de gérer le cumul des risques. Scor indique avoir développé, il y a quelques années déjà, un outil de tracking des expositions au risque cyber dans ses contrats. « Pour l’ensemble de nos contrats de réassurance, nous demandons aux souscripteurs d’identifier les expositions affirmatives au risque cyber et les exclusions de garanties, rapporte Didier Parsoire. Quand l’attaque NotPetya s’est produite, nous avons pu évaluer rapidement nos expositions potentielles au titre du portefeuille facultatives : cela concernait principalement des polices dommages. »

Une logique vertueuse avec un effet d’entraînement sur toute la chaîne. « En tant que réassureurs, nous sommes des agrégateurs de risques. Donc, nous avons intérêt à bien connaître notre exposition. La transparence est essentielle. Nous sommes en train de construire pour le cyber ce que nous avons fait il y a vingt ou trente ans pour les catastrophes naturelles : définir avec nos clients des standards d’échanges d’informations », relève Didier Parsoire. Une problématique essentielle, qui pourrait également investir le champ réglementaire.

L’Autorité de contrôle prudentiel et de résolution (ACPR), qui a mené en 2018 une enquête exploratoire auprès d’un panel d’assureurs, a constaté une absence de « démarche de cartographie systématisée », notamment pour l’un d’entre eux qui « n’avait pas entamé la moindre analyse » de ses couvertures. Un avertissement avant une possible intervention ?

« Le problème, à ce stade, ce n’est pas l’offre, mais la demande»

L’Argus de l’assurance : Lorsqu’on compare la taille du marché de la (ré)assurance cyber et le potentiel de la menace, l’écart est considérable. Pourquoi ?
Emmanuel Le Floc’h (Aon France). Le problème, à ce stade, n’est pas l’offre mais la demande. Seule une faible proportion d’entreprises s’assure aujourd’hui contre le risque cyber. L’enjeu, pour l’industrie, consiste à s’adresser aux TPE et PME, dont le niveau de maturité et d’information est moins important. Elles pensent, à tort, que les cyberattaques ciblent surtout les grandes entreprises. Il faut donc faire preuve de pédagogie, en particulier dans les réseaux de distribution.
Les cyberattaques Wanna Cry et NotPetya, qui ont été très médiatisées au printemps 2017, n’ont-elles pas contribué à dynamiser la demande ?
Depuis ces deux cyberattaques d’ampleur mondiale, on constate un glissement progressif du marché. Jusque-là, la plupart des événements cyber déclarés concernaient des vols ou pertes de données personnelles. La couverture assurantielle s’est, en effet, d’abord développée aux États-Unis où la législation a imposé aux entreprises, dès le début des années 2000, de notifier les fuites de données. Depuis Wanna Cry et NotPetya, le marché se développe davantage sur la couverture des pertes d’exploitation et de l’outil productif des entreprises, ainsi que les services en cas d’incidents.
Et en France, le marché de la (ré)assurance cyber est-il mature ?
Dans l’Hexagone, la couverture du risque cyber s’est d’abord développée sous l’impulsion de grands groupes internationaux, notamment anglo-saxons. Puis quelques réassureurs ont fourni à certains de leurs clients les produits d’assurance – c’est-à-dire une police et une plateforme de gestion post-incident – associés à une couverture en réassurance. Ils ont ensuite été rejoints sur ce modèle de distribution dit « en marque blanche » par des assureurs grands risques anglo-saxons, cherchant à diversifier leur activité. Progressivement, les compagnies nationales ont délaissé cette démarche pour concevoir leur propre offre et s’adressent donc à des réassureurs traditionnels pour les couvrir.

Dans ce dossier