[DOSSIER] Dossier : Spécial Digital 2016 12/15

Risques informatiques : le fort potentiel de marché de l'assurance cyber (Spécial digital)

Risques informatiques : le fort potentiel de marché de l'assurance cyber (Spécial digital)
© iStock

Face aux enjeux et aux risques liés à la dématérialisation croissante des activités des entreprises et des particuliers, le marché de l’assurance réagit et propose des produits et garanties adaptés.

Par Mélanie Massias, actuaire chez Optimind Winter.

À l’heure où le numérique prend de l’ampleur dans l’activité des entreprises, la cyber-sécurité est une préoccupation croissante. La dépendance à l’infor­matique ainsi que l’essor des nouvelles technologies augmentent l’exposition aux cyber-risques. L’interconnectivité (Internet, réseaux sociaux, etc.) et le stockage de données numériques (Cloud, Data Center…) accroissent singulièrement les menaces.

Des origines diverses, des conséquences multiples

Les risques informatiques peuvent porter atteinte aux données personnelles ou de tiers, et générer de multi­ples conséquences (voir ci-contre). La cybercriminalité constitue la plus grande menace en termes de risques informatiques. Les cyber-attaques touchent à présent l’ensemble des secteurs d’activité avec une prédominance pour le secteur financier. Au-delà de leur nombre qui ne cesse de croître, elles sont de plus en plus efficaces et ciblées.

Les conséquences pour une entreprise peuvent être extrêmement coûteuses, de par les pertes liées à la baisse ou l’arrêt de l’activité, les montants liés à l’indemnisation des ­victimes, les frais judiciaires et ­d’expertise, mais également de par l’atteinte à la réputation des entreprises et ses conséquences indirectes.

Face à cette vulnérabilité, les entreprises sont incitées à mettre en place une politique de sécurité des ­systèmes d’information afin de faire face à d’éventuelles attaques (anti­virus, firewall…), mais également de disposer de solutions en cas de perte de données (site de back-up). Ces dispositifs apportent une première solution, mais restent généralement insuffisants.

À retenir

  • Les cyber-risques sont devenus un sujet de préoccupation constante, notamment du fait de la surmédiatisation des grandes attaques.
  • L’assurance cyber-risque est un marché peu mature.
  • Le risque cyber est en croissance et évolutif.
  • Les coûts des dommages immatériels sont difficiles à évaluer.

De l’assurance et du service

Les contrats traditionnels ont montré leurs limites face à ces risques atypiques, obligeant les assureurs à développer des solutions adaptées.

Les cyber-assurances proposent, comme principales garanties, la prise en charge des pertes de chiffre d’affaires, des frais de remise en œuvre des programmes et de restitution des données, mais aussi de défense quand la responsabilité ­civile de l’entreprise est engagée : divulgation de données confidentielles, transmission de virus informatiques…

Certains assureurs proposent également des services tels que l’accompagnement en risk management consistant à évaluer le niveau de protection des systèmes d’information en prévention, ou encore l’accompagnement en gestion de crise en cas de forte attaque.

Les propositions d’assurance sont généralement sur mesure, l’exposition au risque pour une entreprise est bien souvent spécifique. Une des difficultés pour les assureurs consiste à estimer au plus juste les pertes potentielles subies par une entreprise suite à une cyber-attaque. Le côté immatériel des dommages rend compliqué l’évaluation des coûts d’un sinistre. De plus, la cybercriminalité est un risque difficile à évaluer, car il est en constante évolution de par l’essor des nouvelles technologies et des nouvelles techniques de piratage.

D’un point de vue actuariel, l’hypothèse d’indépendance des risques ne peut être appliquée comme pour la plupart des risques assurés « classiques », ce qui, combiné à un faible historique de données, complexifie la tarification. De plus, le coût d’une cyber-attaque peut sensiblement varier selon le type d’assaut (virus, usurpation d’identité…), ses conséquences (indisponibilité des ­systèmes d’information, engagement de la responsabilité de l’entreprise…) et selon le temps de détection et de remise en fonctionnement. Généralement les primes d’assurance dépendent de la taille et de la nature des entreprises, de ­l’importance de l’utilisation des ­systèmes d’information et du type des données qu’ils contiennent. Elles sont de l’ordre de 1 à 10 % du montant garanti et comprennent une franchise pouvant aller jusqu’à plus de 1 M€ pour les grands comptes. Ces montants de primes élevés s’expliquent par la faible ­maturité du marché.

Risque d’image

Ces dernières années, plusieurs ­cyber-attaques ont été observées, marquant les esprits par leur ampleur et les impacts qu’elles ont générés. Parmi elles, on note en 2015 le piratage informatique de l’Office of Personnel Management (OPM), l’agence gérant les effectifs du gouvernement américain, dévoilant les données personnelles de 4?millions d’employés fédéraux.

En 2014, Sony Pictures Entertainment a également été victime d’une cyber-attaque massive. Les hackers ont diffusé sur Internet des données hautement confidentielles sur les salariés et des scripts de films, principalement. Cette même année, Orange a été victime d’une intrusion, entraînant le vol de données personnelles de 1,3 million de clients.

Le préjudice économique de telles attaques est considérable et peut être comparé à celui subi après une catastrophe naturelle ou un accident industriel majeur. Alors que les ­entreprises sont assurées contre ces deux risques, elles se montrent ­encore réticentes à s’assurer contre la cybercriminalité. Cependant, la ­situation évolue. En effet, plusieurs études récentes montrent que la sécurité informatique est une ­pré­occupation croissante au sein des entreprises.

Tendances de marché

Le montant cumulé de primes du marché de la cyber-assurance s’élève aujourd’hui à 2,5 Md\$ dans le monde. Le marché le plus mature est celui des États-Unis, représentant 90 % du marché mondial en termes de primes. Aux États-Unis, les entreprises ont l’obligation de notifier l’atteinte des données personnelles à leurs clients depuis 2005, ce qui a fait exploser le marché de la cyber-assurances.

En France, ce business naissant est en plein essor depuis 2011. Les opérateurs télécoms ont, depuis lors, l’obligation de notifier les incidents de sécurité qui concernent les données personnelles au régulateur (Cnil) et à leurs clients. Cette obligation devrait être étendue prochainement à l’ensemble des entreprises gérant des données personnelles, en application d’une nouvelle législation européenne, dont le règlement et la directive devraient entrer en vigueur au printemps 2018.

La notification des incidents peut s’avérer extrêmement coûteuse pour les entreprises, tant sur le fait de rechercher et de prévenir les clients concernés, qu’au niveau des risques de poursuites que pourraient engager les personnes victimes de préjudices.

Aujourd’hui la médiatisation des cyber-attaques et la multiplication des offres sur le marché sensibilisent les entreprises sur leurs propres risques informatiques et leurs conséquences. Actuellement, les clients sont le plus souvent des grands groupes ou des entreprises stockant des données personnelles des clients, mais le marché pourrait s’étendre aux PME et ETI, de plus en plus visées par la cybercriminalité. Bien que les entreprises soient de plus en plus concernées par les risques informatiques et la ­volonté de protéger leur patrimoine informationnel, elles sont peu nombreuses en France à souscrire à des cyber-assurances. Le marché est certes peu mature, ne proposant des offres dédiées que depuis peu de temps, les ­entreprises ne sont pas encore très réactives. Ces dernières jugent les primes d’assurance trop élevées au regard des risques encourus. Or, au vu des conséquences financières et opérationnelles que peut engendrer une cyber-attaque, le coût d’une cyber-assurance peut s’avérer plus que justifié. Il appartient donc à chaque entreprise d’évaluer son niveau d’exposition au risque, par l’importance de son système d’information, la confidentialité des données détenues, et par le niveau de sécurité déployé, afin d’évaluer l’intérêt de souscrire une police spécifique.

Le marché de la cyber-assurance affiche tout de même un fort potentiel. La surmédiatisation des ­attaques augmente la prise de conscience et crée une pression de la part des clients inquiets au sujet de la confidentialité de leurs ­données personnelles. Le cadre ­législatif et réglementaire qui devrait, à l’horizon 2018, étendre l’obligation de notifier les vols et les ­atteintes à ces données à l’ensemble des entreprises, pourrait accélérer cette ­tendance.

La loi informatique et libertés

En France, les responsabilités liées aux risques informatiques sont définies depuis le 6 janvier 1978 dans la loi relative à l’informatique, aux fichiers et aux libertés.

Article 34 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. »

L’article 34 bis (créé par l’ordonnance du 24?août 2011) : « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé. »

Les cyber-risques du particulier

Les cyber-risques concernent également les particuliers. En effet, avec l’explosion des réseaux sociaux, l’utilisation des smartphones et les transactions financières en ligne, le grand public est exposé de manière croissante aux risques de malveillance. Aujourd’hui, 67 % des Européens se disent soucieux du contrôle de leurs données personnelles sur Internet (sondage Eurobarometer). Face à ces inquiétudes, certains assureurs proposent à présent des offres dédiées aux particuliers couvrant essentiellement les risques d’atteinte à l’e-réputation, l’usurpation d’identité numérique ou encore l’utilisation frauduleuse des moyens de paiement. Ces solutions pour les particuliers consistent principalement en des contrats de protection juridique comprenant des volets assistance. Les offres existantes dans ce marché peu développé sont généralement proposées soit sous forme d’option liée à un contrat principal, soit directement inclus en garanties secondaires d’un contrat, par exemple dans les garanties des contrats accidents de la vie.

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 25 septembre 2020

ÉDITION DU 25 septembre 2020 Je consulte

Emploi

ASSURANCES TOUSSAINT-PAJOT-SEVIN

AGENT GÉNÉRAL ASSOCIÉ H/F

Postuler

SAS COHEN CORPORATE ASSURANCES

Commerciaux Sédentaires H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Assurances pour les besoins du Département de la Savoie.

Conseil Général de la Savoie, Direction des Routes Départementales

27 septembre

73 - CONSEIL DEPARTEMENTAL

Assurances pour les besoins de la ville et du CCAS de St Pierre d'albigny.

Ville de St Pierre d'Albigny

27 septembre

73 - ST PIERRE D'ALBIGNY

Souscription de services d'assurances d'une collectivité territoriale.

Ville d'Estrées St Denis

27 septembre

60 - ESTREES ST DENIS

Proposé par   Marchés Online

Commentaires

Risques informatiques : le fort potentiel de marché de l'assurance cyber (Spécial digital)

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié