Le cyber-risque prend de l'assurance

La couverture du piratage informatique dont sont victimes les entreprises a franchi une étape sur la voie de la maturité. Le cloud computing, en pleine expansion, vient néanmoins faire bouger les lignes de la gestion de risques.

Les sinistres rencontrés par Sony ou encore les dégâts provoqués par le virus Stuxnet ont mis depuis près de deux ans en lumière les risques liés à la cybercriminalité. Par cyber-risque, il faut ainsi entendre « tout ce qui touche à l'atteinte, la violation ou la perte de données, mais également les intrusions de réseau ou encore la détérioration d'actifs immatériels », confie Anne Magnan, directrice adjointe de la direction technique RC d'Aon France. Même si les degrés de maturité diffèrent d'une entreprise à l'autre, force est de constater que les offres en la matière fleurissent sur le territoire français et sont proposées aux sociétés désireuses de s'équiper de solutions.

Demande grandissante

« Aujourd'hui, bien plus qu'il y a mê-me six mois, nous trouvons des garanties qui complètent bien ce que nous avons déjà mis en place au niveau de nos couvertures risques informatiques. Nous y trouvons notamment un volet " notification " essentiel pour notre activité », confirme Gilbert Brat, directeur des assurances du groupe La Poste et vice-président de l'Association pour le management des risques et des assurances de l'entreprise (Amrae). Dans le jargon du cyber-risque, la notification est l'obligation, pour l'entreprise, de prévenir ses clients en cas d'atteinte à ses données informatiques. Pour le moment, neuf assureurs et réassureurs étrangers se partagent un gâteau loin d'être virtuel : Ace, Beazley, Chartis, CNA, Hanover Re, Hiscox, Swiss Re, XL et Zurich. « Nous sentons qu'il y a une demande grandissante. Pour notre part, nous avons déjà une quarantaine de dossiers à l'étude », confirme Jérôme Gossé, souscripteur RC professionnelle de Zurich France. Sensibles à ce développement, certains grands acteurs présents en France, comme Axa ou encore Allianz, commenceraient même à se pencher sérieusement sur ce segment.

Quelle évaluation du risque ?

Au niveau de l'offre assurantielle, justement, les acteurs du marché, pour la plupart anglo-saxons ou américains, proposent aux risk managers des garanties tournant autour de la responsabilité civile, des dommages et des frais de notification. Des solutions qui laissent certains courtiers sur la réserve quant à la pertinence des garanties présentées sous forme de package. « Les couvertures cyber-risque proposées par le marché sont à analyser très précisément, afin d'éviter des duplications de couvertures avec les polices RC et dommages aux biens, notamment, souscrites par nos clients », estime Alain Ronot, responsable des relations marchés et réassurance facultative chez Siaci Saint-Honoré. De son côté, Luc Vignancour, directeur adjoint département Finpro et risques spéciaux de Marsh France, considère que « tout comme le risque fraude, le cyber-risque est délicat et compliqué à évaluer. Il est notamment difficile d'estimer ce que vaut réellement une donnée ».

La demande étant présente en termes de besoins de garanties et les produits s'améliorant et se développant au fil des mois, un autre facteur importe également aux gestionnaires de risques et aux courtiers : la capacité. Avec neuf acteurs de renom sur la place française, la capacité débloquée par le marché s'élève à « plus de 100 M€ en France », selon Luc Vignancour (Marsh France). Pour ne citer qu'eux, Zurich France affiche pour son offre cyber une capacité de 25M€, et XL près de 15M€ pour l'ensemble des garanties proposées. Ce constat permet aux grands courtiers de la place parisienne de se montrer satisfaits du niveau de capacité dégagé. « C'est un segment qui est naissant mais qui évolue bien. Il est déjà assez concurrentiel, et la capacité disponible sur le marché français permet de satisfaire les besoins des grandes entreprises », appuie Jérôme Gossé (Zurich France).

Une question de responsabilité

Dans le cadre de cette protection des données, une évolution technique vient peut-être faire bouger et bouleverser quelque peu les lignes de la gestion de risques et des programmes d'assurances plus classiques en la matière. Le cloud computing, ou nuage de données, est sur la pente ascendante en termes de développement et change, selon Clotilde Zucchi, responsable de la souscription lignes professionnelles de XL France, l'analyse du risque en elle-même pour les entreprises clients de ce genre de services. « D'autres risques émergent en effet derrière cette externalisation, qui est pourtant d'apparence plus sécurisée et sécurisante. La notion de confidentialité et d'intégrité des données transférées est au centre de la réflexion des entreprises utilisant ce genre de procédé. Tout du moins, elle doit l'être. Il y a également la notion de transfert de responsabilité à délimiter dans les contrats », précise Gilbert Brat, directeur des assurances du groupe La Poste.

Une des complications liée au cloud computing résiderait dans le fait que la localisation des données est très difficile à déterminer. « Or, c'est une obligation réglementaire pour les entreprises stockant des données personnelles de leurs clients », insiste Luc Vignancour (Marsh France). Concernant le transfert de risques, Kadidja Sinz, directrice générale des opérations d'assurances de XL en France, reste mesurée : « Même si l'entreprise peut transférer des risques auprès de son prestataire avec la mise en place de recours possible, elle ne pourra pas s'exonérer de ses responsabilités devant ses clients finaux. » Des propos qui confirment bien, pour Gilbert Brat, que le marché n'est « pas encore en mesure de mettre en place des couvertures assurantielles identiques tant pour les prestataires que pour les utilisateurs. »

Concernant les deux projets de cloud à la française (lire encadré ci-contre), portés notamment par les opérateurs télécoms SFR et Orange, ils ont, selon Kadidja Sinz de XL, « davantage une dimension stratégique en termes d'intelligence économique. L'impact réel sur la gestion des risques est l'utilisation spécifique des cloud computing qu'ils soient locaux ou internationaux. » Et Gilbert Brat de conclure : « Ils ont le mérite de permettre de localiser les données stockées, mais ils ne résolvent pas la problématique des responsabilités. »

À SAVOIR

  • Le cloud computing est un système informatique à la demande qui consiste à accéder à des données et services stockés sur un serveur à distance. Par rapport aux modèles traditionnels d'hébergement de données, cela permet aux entreprises de réduire leurs coûts d'infrastructure grâce à la mutualisation du matériel et de développer des applications partagées.

DEUX PROJETS DE « CLOUD » À LA FRANÇAISE

  • Les pouvoirs publics français ont décidé de passer à l'action, en lançant un appel à projets dans le cadre du programme Andromède. Deux consortiums ont été mis en place suite à cet appel d'offres : le premier regroupe SFR et Bull, le second associe Orange et Thalès. La Caisse des dépôts est partie prenante dans chacun des projets.
  • L'objectif est la mise en place de deux « cloud computing » en conformité avec les règles françaises et européennes. L'idée est également de donner l'assurance que la confidentialité des données des entreprises ne sera pas menacée par l'application de décisions prises par des juridictions étrangères.

UN MARCHÉ QUI SE STRUCTURE

  • 100 M€ La capacité du marché en France, dont...
  • ... 15 M€ La capacité affichée par XL France
  • ... 25 M€ La capacité affichée par Zurich France

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 24 septembre 2021

ÉDITION DU 24 septembre 2021 Je consulte

Emploi

ALLIASS

Gestionnaire sinistres IARD Confirmé H/F

Postuler

Natixis Assurances

CHARGÉ D’ÉTUDES ACTUARIELLES INVENTAIRE EPARGNE H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Contrat d'assurances statutaires

Centre de Gestion de la Fonction Publique

24 septembre

66 - Perpignan

Proposé par   Marchés Online

Commentaires

Le cyber-risque prend de l'assurance

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié