[DOSSIER] Dossier risk management : Risques émergents 4/9

L'ascension fulgurante du risque cyber (Dossier risk management)

L'ascension fulgurante du risque cyber (Dossier risk management)

Après le temps de la sensibilisation des entreprises aux menaces cyber, l’heure est aux réponses opérationnelles. Pour profiter de ce nouveau marché prometteur, l’assurance doit s’adapter à des besoins mouvants et résoudre des défis structurels d’assurabilité.

  • 5 Md$

    Le poids estimé du marché de l’assurance cyber dans le monde en 2020 selon le courtier en réassurance Guy Carpenter.
  • 12%

    Le taux d’équipement des entreprises européennes en assurance cyber, selon une étude du courtier Marsh (octobre 2015).
  • 260 Md€

    Le montant minimum des pertes qu’entraîneraient les attaques cyber selon l’agence européenne chargée de la sécurité de l’information et des réseaux (Enisa).
Après avoir fait son entrée dans le Top 10 du baromètre des risques d’entreprise d’Allianz en 2015, le cyber figure sur le podium en 2016. Une progression d’autant plus remarquable qu’il n’était cité que par 1 % des risk managers il y a cinq ans. Cependant, le marché européen n’a pas la maturité de son voisin d’outre-Atlantique : le montant des primes de cyber assurance collectées dans le monde en 2014 était de 2,5 Md$ dont 2,2 Md$ aux États-Unis et à peine 300 M$ en Europe. Un montant encore très faible sachant que l’une des attaques les plus médiatisées en France pour l’année 2015, celle de la chaîne TV5 Monde, est évaluée entre 4,4 et 5 M€ selon son directeur général, Yves Bigot. Or ce sinistre, non assuré, reste assez simple à modéliser : une perte de chiffre d’affaires due à la coupure de l’antenne, donc à l’absence de revenus publicitaires, et des frais engagés pour comprendre l’attaque et remettre le système en état de fonctionnement. D’autres scénarios, plus diffus et complexes, commencent dans le même temps à prendre corps. Ainsi, moins de cinq mois après avoir secoué le monde de l’assurance avec un scénario à 100 Md$, impliquant une cyberattaque sur le réseau électrique américain, le Lloyd’s a vu ses analyses prospectives en partie répercutées sur un sinistre, à savoir la privation d’électricité de 80 000 foyers ukrainiens, fin décembre, qui pourrait avoir été causée par une cyber-attaque. Les assauts informatiques se complexifient de jour en jour et se jouent des frontières. « Le cyber- risque est le risque systémique le plus important que nous ayons eu à affronter au cours des 42 dernières années », a alerté Stephen Catlin, vice-président exécutif de l’assureur grands risques XL Catlin, lors de la conférence annuelle de l’agence de notation A.M. Best, le 4 novembre 2015.

Le marché français s’affûte

« Actuellement le marché français peut offrir une capacité théorique de 400 à 500 M€ », détaille Paul Sterckx, directeur des risques financiers d’AIG. Alors que le marché hésite entre appétit (face à un nouveau produit à fort potentiel de croissance) et prudence devant l’ampleur des sinistres potentiels (absence de modélisation crédible), le manager d’AIG se veut rassurant : « Nous n’avons pas vu en France d’entreprise souscrivant plus de 150 M€ de capacités. C’est beaucoup quand on se rappelle que les entreprises n’envisageaient pas de capacité supérieure à 20/25 M€ il y a un peu plus de trois ans, quand nous avons lancé les souscriptions, mais ce n’est pas si élevé quand on regarde ce qui se passe aux États-Unis, par exemple ». Paul Sterckx estime que les capacités vont augmenter dans les années à venir car les assureurs auront du mal à résister au potentiel de croissance de ce marché. De son côté, Thierry van Santen, directeur général d’AGCS (Allianz Global Corporate & Specialty) France, alerte sur le fait que le marché cyber-risque n’est « sans doute pas à son juste prix car on ne connaît pas son prix de revient ». Par surcroît, le marché n’est pas encore stabilisé, avec des assureurs qui entrent et sortent. « L’un des acteurs du marché français a ainsi cessé de souscrire le risque cyber », précise-t-il. Mais face à cette effervescence, l’un des principaux défis consiste surtout à convaincre les entreprises que l’achat d’assurance correspond bien à leurs besoins. En France, en septembre 2015, Marsh estimait que seules dix entreprises du CAC 40 disposaient d’une police cyber et que neuf étaient en étude. En janvier, le courtier observait une hausse des demandes. Toutefois, « la souscription n’est pas une décision aisée à prendre, car cela revient à ouvrir un nouveau poste budgétaire, précise Luc Vignancour, directeur adjoint de Finpro & Risques Spéciaux de Marsh France. Donc nous avons eu plusieurs reports de souscriptions de 2015 à 2016. » Plusieurs facteurs accélèrent cependant la souscription, comme la médiatisation des incidents cyber ainsi que l’intérêt des mandataires sociaux des grandes entreprises. L’accord de principe de l’UE sur la protection des données en ligne, obtenu le 15 décembre dernier, pourrait également augmenter les concrétisations. « Pourquoi a-t-il fallu attendre 2004 pour voir une forte augmentation des souscriptions aux États-Unis alors que les produits étaient disponibles depuis 1998 ? interroge Paul Sterckx chez AIG. Parce qu’il n’y avait pas de cadre juridique relatif à la confidentialité et la protection de données comportant une obligation de notification. »

Une menace directe sur la chaîne de production

Le secteur alerte toutefois sur le danger de se focaliser uniquement sur les données. Chez Marsh, Luc Vignancour rappelle ainsi qu’aux États-Unis, ce qui coûte cher lors d’un sinistre cyber, ce ne sont pas les réclamations, mais l’investissement nécessaire pour réagir derrière et comprendre ce qui s’est passé. « Certains acteurs de l’assurance font un peu fausse route sur le risque cyber en se focalisant sur le vol des données », confirme Thierry van Santen, directeur général d’AGCS France. En effet, les attaques cyber menacent directement la chaîne de production d’une entreprise avec le sabotage informatique des outils connectés, par exemple. « Le vrai risque cyber n’a pas besoin de données personnelles pour exister », résume Luc Vignancour. Enfin, les entreprises sont particulièrement mobilisées sur l’atteinte à l’image de marque ou à la réputation que de plus en plus de sinistres cyber impliquent. « Sur ce volet, la réponse de l’assurance ne peut être que partielle et ne peut pas intervenir sur une grande multinationale », avertit le directeur général de AGCS France. La réponse du marché assurantiel est basée sur des services, pour reconstruire l’image de marque et, dans certains cas, sur des garanties indemnitaires pour pertes d’exploitation. Et l’intérêt va aller en s’accroissant, notamment depuis que la Commission du marché intérieur et de protection des consommateurs rattachée au Parlement Européen a voté, le14 janvier dernier, l’adoption d’un texte visant à établir un haut niveau de sécurité des réseaux et de l’information au sein des pays de l’UE. Les entreprises liées aux secteurs de l’énergie, des transports, des banques ou de la santé devront s’assurer que leurs infrastructures sont capables de faire face à des cyber attaques. Il reste que les produits dédiés au risque cyber cherchent encore la meilleure configuration et le marché ressemble à un laboratoire… très exposé.

  • Le cyber regroupe les menaces liées aux nouvelles technologies.
  • Ce que l’assurance couvre : les polices cyber combinent des garanties en dommages, en RC et pécuniaires pour couvrir sous un même chapeau les pertes d’exploitation liées au cyber et difficilement quantifiables. Les réclamations des tiers, les frais de notification et la gestion de crise sont inclus.
  • Ce que l’assurance ne couvre pas (ou peu) : le risque de réputation qui résulterait d’une attaque cyber (usurpation d’identité de l’entrepreneur, propagation de rumeurs sur la marque...)

Menaces sur les données de santé

Résultats d’analyses médicales divulgués par des hackers après refus du laboratoire de payer une rançon, tentative d’arnaque au président sur une clinique, destruction de données suite à une intrusion dans les serveurs d’un centre de radiothérapie... Les acteurs du monde médical, qui ne faisaient pas forcément partie des organisations visées par les pirates à l’origine, ne sont plus épargnés comme le montrent ces attaques survenues en France en 2015.

De par la nature des données exploitées et du fait de son organisation, le secteur de la santé fait partie des cibles sensibles. « L’augmentation croissante du nombre d’acteurs gravitant autour de la santé, la mise en œuvre d’une externalisation de l’hébergement des données de santé et la complexification croissante de l’informatique et des interconnexions favorisent l’émergence de risques importants pas toujours bien identifiés », observe Alexis Nardone, responsable du pôle d’expertises nouvelles technologies de l’information au sein du cabinet d’expertise GM Consultant. Dans un secteur où évoluent de multiples acteurs opérant en réseau, les établissements de santé sont particulièrement vulnérables. « Leur problématique est complexe et identique à celles de toutes les structures qui accueillent du public telles que les aéroports. En effet, la mise à disposition de services « hôteliers » (wifi, TV connectée, poste de consultation Internet...) et la facilité d’accès aux locaux augmentent les risques d’introduction de programmes malveillants (par clé USB, par exemple). »

Avec les attaques survenues en France en 2015 et d’autres d’ampleur plus importante aux États-Unis, le secteur commence à prendre la mesure des risques encourus. « Tous nos clients n’ont pas le même niveau de sensibilité face aux cyber-risks et de maturité en matière de sécurité. Mais certains établissements sont demandeurs de solutions d’assurance spécifiques que nous mettons à leur disposition », note Ismaële Jamin, du cabinet de courtage Temeris (groupe Gras Savoye). Du côté des assureurs, des offres adaptées au secteur voient le jour.

Mais le manque d’historique et les spécificités des risques complexifient leur tâche. « Tout l’enjeu consiste à mesurer l’impact financier sur les acteurs de la santé. Quelle est la valeur d’un dossier médical volé ? C’est inchiffrable, ce qui constitue un frein aux yeux des assureurs », considère Alexis Nardone. Si le risque reste difficile à mesurer, l’émergence d’un cadre plus formel en matière de sécurité pourrait contribuer à mieux le maîtriser à l’avenir. « Le plan Hôpital Numérique 2012-2017, qui vise à mieux partager et centraliser les données des patients, comporte un volet sur la gouvernance des systèmes d’information au sein des établissements, et la sensibilisation des équipes via la formation médicale aux technologies, aux outils numériques et aux réseaux. » De plus, l’État travaille sur une Politique générale de sécurité des systèmes d’information de santé (PGSSI-S). « À ce stade, il s’agit surtout d’un guide de bonnes pratiques en matière de sécurité, précise-t-il, toute la difficulté pour les établissements de santé consiste à intégrer cette problématique dans une politique drastique de réduction des budgets. »

Estelle Durand

 

Alexis Nardone, responsable du pôle d’expertises nouvelles technologies de l’information de GM Consultants : «Il faut s’atteler à la question de la valorisation»

  • Estimez-vous les contrats cyber adaptés aux sinistres sur lesquels vous intervenez ?
    Oui, cependant je pense qu’il reste compliqué pour une entreprise d’évaluer le coût du blocage de sa structure à la suite d’une attaque informatique. Il est donc primordial de s’atteler à la question de la valorisation, avec un plan de prévention solide en amont. L’objectif est de pouvoir indemniser correctement après un sinistre. L’autre défi est de bien équilibrer la couverture dommages et le volet RC, notamment pour le vol de données.
  • Comment voyez-vous évoluer les polices cyber ?
    Les assureurs affinent les contrats à mesure qu’ils identifient les risques liés au cyber. Il y a sept à huit ans, les polices dommages classiques tous risques informatiques comprenaient le bris et la reconstitution des données. Aujourd’hui, l’assureur exige une sauvegarde des données à son assuré dans la très grande majorité des cas. L’identification des comportements à adopter de façon préventive aura donc une influence sur les conditions de couverture.

 

Emploi

AFI ESCA

Commercial grands comptes H/F

Postuler

Collecteam

Responsable Technique Contrats Santé et Prévoyance H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Services d'assurances 2019-2022 pour la SIG.

Société immobilière de la Guadeloupe (SIG)

24 janvier

971 - LES ABYMES

Proposé par   Marchés Online

Commentaires

L'ascension fulgurante du risque cyber (Dossier risk management)

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié