Réassurance : le marché encore attentiste sur le cyber

Bien plus coûteuse que l’ouragan Sandy de 2012 : si une catastrophe cyber venait à se produire, elle pourrait entraîner, au total, des pertes économiques comprises entre 85 Md$ et 193 Md$ (entre 76 et 173 Md€), selon le CyRiM (cyber risk management), une plateforme de recherche à laquelle participent Scor, Trans Re, le Lloyd’s, Aon et MSIG. Leur scénario, intitulé Bashe attack, fait l’hypothèse d’une cyberattaque de type ransomware (NDLR : logiciel de rançon ou d’extorsion en échange de données personnelles), coordonnée au niveau mondial sur des dizaines de milliers d’ordinateurs. Un coût envisagé 8 à 19 fois supérieur à celui estimé pour l’attaque NotPetya, qui avait fait la Une des journaux en juin 2017. Les pertes assurées, elles, seraient comprises entre 10 et 27 Md\$ (entre 9 et 24 Md€), selon la sévérité du scénario, soit seulement 9 à 14 % des pertes économiques ! Un protection gap qui constitue une opportunité majeure pour l’industrie.

Un appétit contrôlé

Mais le marché reste, pour l’heure, de petite taille et les réassureurs prudents face à un risque évolutif et polymorphe, et donc difficile à appréhender. « étant donné qu’il n’y a pas encore eu de sinistre majeur, tous les grands réassureurs continentaux s’observent pour voir qui va essuyer les plâtres », observe un connaisseur du marché. Tandis que Warren Buffett, l’emblématique patron de Berkshire Hathaway, troisième réassureur mondial, met en garde contre « un territoire inexploré » et affiche son scepticisme sur la capacité de l’industrie à couvrir ce risque, d’autres se sont positionnés sur le marché dès l’accélération de la demande aux États-Unis, portée notamment par la réglementation en matière de données personnelles. « Nous sommes actifs sur le cyber depuis dix ans aux États-Unis et depuis plusieurs années en Europe, alors que d’autres disent encore qu’il s’agit d’un risque inassurable… remarque Bengt von Toll, responsable du cyber pour l’Europe et l’Amérique latine chez Munich Re. Pour les entreprises, il s’agit de l’un des risques majeurs. Donc, si nous ne trouvons pas de solutions, nous aurons échoué en tant qu’industrie ! » L’engagement de Munich Re reste toutefois mesuré. « Nous nous montrons prudents car nous voulons d’abord comprendre notre exposition au risque », concède Bengt von Toll. Même prudence chez Scor : « Nous montrons un appétit contrôlé et déployons notre capacité au fur et à mesure que notre compréhension du risque progresse », confie Didier Parsoire, responsable de la souscription pour les solutions cyber chez le réassureur français.

Si les réassureurs s’engagent moins que sur d’autres branches en dommages – et imposent des limites à leurs couvertures – c’est en raison de la grande incertitude qui persiste sur ce risque complexe à modéliser. « Les réassureurs sont très vigilants quant au risque d’accumulation, le risque cyber présentant un aspect systémique qui peut être colossal. En l’état actuel de la sinistralité constatée, il est par ailleurs difficile de se représenter le worst case scenario (le pire cas de figure) », analyse Valéry Leballeur, directeur juridique reinsurance solutions chez Aon France. Et ce, malgré les scénarios élaborés par les syndicats du Lloyd’s, les agences RMS et AIR – qui élargissent leur offre à la modélisation cyber cat’ – ainsi que les agences nées dans le giron de la cybersécurité telles Cyence et Cybercube (une émanation du fabricant d’antivirus Symantec).

« Ces agences identifient des nœuds de corrélation, par exemple la standardisation des systèmes d’exploitation ou la concentration des fournisseurs de services cloud. Les scénarios élaborés sur cette base sont calibrés grâce aux dires d’experts ainsi qu’à des données collectées sur le type et la fréquence des attaques. Pour l’heure, le marché a une confiance relative dans ces modèles : c’est un des facteurs limitants pour l’essor des couvertures car le cyber est un risque à forte propension au cumul », précise Didier Parsoire.

Les TPE / PME à la traîne

Mais « les plus gros obstacles au développement du marché sont à chercher du côté de l’assurance primaire », relève Bengt von Toll, qui pointe « le manque de demande » ainsi que « le manque d’expertise et d’expérience des équipes commerciales et des réseaux de distribution ». Alors que les attaques Wanna Cry et NotPetya survenues en 2017 ont stimulé la demande des grandes entreprises – la quasi-totalité du CAC 40 serait aujourd’hui équipée, selon la Fédération française de l’assurance (FFA) – les TPE et PME, tout aussi vulnérables aux cyberattaques, sont très peu couvertes. Or l’entrée sur ce marché de la plus grande masse des entreprises est nécessaire pour mutualiser le risque. « Les plus petites entreprises font preuve de naïveté en pensant que seules les grandes sociétés peuvent être la cible des hackers, avertit Alexis Nardone, responsable du pôle nouvelles technologies et sécurité informatique chez GM Consultant. Leur niveau de maturité et d’information n’est pas aussi important, certaines d’entre elles n’ont même entamé aucune démarche en interne sur la cybersécurité. Stimuler la demande requiert du temps, de la pédagogie ainsi que de former les intermédiaires en assurance à ces enjeux. Pour un agent général, vendre une police cyber auprès de cette clientèle signifie aujourd’hui plus de travail pour une commission plus faible », explique-t-il.

Pour dégripper le marché, les réassureurs accompagnent leurs clients. « Nous les aidons à se doter des bons outils, notamment en matière de vente et de distribution », précise Bengt von Toll.

Dans l’Hexagone, des réassureurs comme Munich Re ou des assureurs grands risques comme AIG et Chubb ont accompa­gné la création du marché en fournissant à leurs clients des produits d’assurance, une plateforme de gestion post-incident ainsi que la couverture en réassurance. « Nous travaillons main dans la main avec nos clients dans un processus de cocréation », souligne Bengt von Toll. De même, Swiss Re met à disposition de ses clients des éléments afin de créer un produit d’assurance cyber : une police, un questionnaire de souscription pour les TPE-PME ainsi qu’une méthodologie d’analyse du risque, une approche de tarification et un accès à des prestataires de services (services juridiques, de notification, IT forensics qui opèrent la recherche des failles dans les systèmes…).

Cartographier les risques

Avec l’appui des réassureurs se sont ainsi développées sur le marché de l’assurance des couvertures « affirmatives », c’est-à-dire explicites, du risque cyber. L’une des problématiques réside, en effet, dans l’existence de couvertures dites « silencieuses », c’est-à-dire lorsque le cyber n’est pas explicitement exclu des contrats d’assurance existants.

Là encore, les réassureurs, contraints de connaître leur exposition aux risques, jouent un rôle incitatif auprès de leurs clients afin qu’ils réalisent cette cartographie. « Certains en font même un argument marketing », note Aon. Swiss Re met, par exemple, à disposition de ses clients sa Cyber analytics platform, qui facilite la gestion du portefeuille et permet d’identifier et de gérer le cumul des risques. Scor indique avoir développé, il y a quelques années déjà, un outil de tracking des expositions au risque cyber dans ses contrats. « Pour l’ensemble de nos contrats de réassurance, nous demandons aux souscripteurs d’identifier les expositions affirmatives au risque cyber et les exclusions de garanties, rapporte Didier Parsoire. Quand l’attaque NotPetya s’est produite, nous avons pu évaluer rapidement nos expositions potentielles au titre du portefeuille facultatives : cela concernait principalement des polices dommages. »

Une logique vertueuse avec un effet d’entraînement sur toute la chaîne. « En tant que réassureurs, nous sommes des agrégateurs de risques. Donc, nous avons intérêt à bien connaître notre exposition. La transparence est essentielle. Nous sommes en train de construire pour le cyber ce que nous avons fait il y a vingt ou trente ans pour les catastrophes naturelles : définir avec nos clients des standards d’échanges d’informations », relève Didier Parsoire. Une problématique essentielle, qui pourrait également investir le champ réglementaire.

L’Autorité de contrôle prudentiel et de résolution (ACPR), qui a mené en 2018 une enquête exploratoire auprès d’un panel d’assureurs, a constaté une absence de « démarche de cartographie systématisée », notamment pour l’un d’entre eux qui « n’avait pas entamé la moindre analyse » de ses couvertures. Un avertissement avant une possible intervention ?