La cybersécurité, un relais de croissance pour les assureurs ?

Quel avenir pour l’assurance dans le domaine de la cybersécurité ? L'offre est actuellement peu développée, mais la médiatisation des attaques et leur multiplicité, même contre des petits acteurs, amènent une prise de conscience de ces risques. En réponse à ce besoin complexe, les assureurs commencent à développer des offres de plus en plus compétitives.

Le vendredi 12 mai 2017, plus de 200.000 ordinateurs ont été infectés par « WannaCry », un « rançongiciel », un virus qui chiffre les données des disques durs des utilisateurs pour exiger ensuite d’eux le versement d’une rançon, et met à nouveau en lumière les insuffisances de beaucoup d’entreprises en matière de cybersécurité. En effet, Wannacry exploite un certain nombre de failles de sécurité facilement évitable pour se propager : utilisation de version obsolète de Windows, retard sur les mises à jour de sécurité et manque de sensibilisation des utilisateurs aux risques facilement évitables comme la transmission de virus dans les pièces jointes aux emails. L’ampleur et la violence croissante des attaques renforce le besoin des entreprises pour ce type de garanties. En dépit des efforts consentis ces dernières années et d’une demande de plus en plus forte, comment expliquer que le développement de ce marché très spécialisé semble si lent ?

La lente émergence d’une offre pour répondre à un besoin complexe

Actuellement, l’offre d’assurance contre ce type de risques est peu développée. Plusieurs raisons à cela : l’absence de prise de conscience de ces risques par une partie des entreprises, en particulier les PME qui se sentaient épargnées jusqu’à récemment, mais aussi une certaine frilosité des assureurs face à des risques nouveaux, difficiles à évaluer et encore mal maîtrisés.

Depuis le premier produit dédié à la cybersécurité proposé par ACE au milieu des années 2000, le marché a vu l’arrivée d’un nombre croissant d’acteurs proposant des garanties similaires : AGCS, Axa CS, Beazley, Chartis, CNA, Hiscox… Ce marché connaît une forte accélération depuis quelques années : en 2014, seuls 12 acteurs sont présents sur ce marché, tandis que courant 2017, près de 70 assureurs proposent des produits spécialisés dans la cybersécurité.

En effet le pas n’est pas toujours facile à franchir pour les assureurs. La cybersécurité est un domaine complexe, à la croisée de la sécurité informatique dans sa dimension la plus technique, de la gestion de risque pour la partie organisationnelle et humaine, et du droit pour ses enjeux notamment de responsabilité dans la protection de données personnelles. Cette complexité a plusieurs impacts pour les assureurs :

  • Ces attaques ont souvent des conséquences immatérielles difficiles à évaluer en plus des risques matériels concernant le SI proprement dit. Ces préjudices immatériels désignent notamment les frais engendrés par les actions en justice des utilisateurs dont les données personnelles ont été dérobées ou la dégradation de l’image et de la réputation de l’entreprise.
  • Les risques sont encore mal connus et surtout en perpétuelle évolution, car la nature et la violence des attaques évoluent avec les progrès technologiques. Par exemple, les objets connectés offrent de nouvelles possibilités d’attaques aux cybercriminels dont il est aujourd’hui difficile d’évaluer l’impact.
  • Les assureurs sont réticents à assurer un risque en grande partie conditionnée par le comportement et les décisions de l’assuré, ce qui rend l’aléa moral difficilement évitable. Pour le réduire, l’assureur peut être amené à auditer en profondeur le SI de son client, voire lui imposer l’utilisation d’outils de sécurisation, ce qui est une source de friction supplémentaire à la souscription.

Les attaques menées contre Sony en 2011 et 2014 montrent une prise de conscience

Le cas de Sony est emblématique de l’évolution des cybermenaces pour les entreprises. En effet, 2 filiales du géant japonais ont été victimes d’intrusions de grande envergure dans leurs systèmes en l’espace de quelques années :

  • Une première attaque a visé le Playstation Network le 19 avril 2011. De nombreuses données personnelles d’utilisateurs ont été dérobées, y compris des coordonnées bancaires. Le préjudice résultant du vol des données personnelles de 77 millions d’utilisateurs et de l’atteinte à l’image de Sony est alors estimé à 3,2 milliards de dollars.
  • Le 24 novembre 2014, la filiale Sony Pictures Entertainment est victime d'un second piratage massif de données. Les pirates sont parvenus à voler une quantité importante d’informations, y compris des copies numériques de cinq films qui n’étaient alors pas encore sortis en salle.

On constate que suite à l’expérience de 2011, Sony a pris conscience de l’importance de se protéger contre les cybermenaces :

  • En 2011, Sony espérait être couvert au moins pour la partie responsabilité civile par son assureur, Zurich American Insurance. Ce dernier a porté l’affaire devant la Cour Suprême de New-York, qui a tranché en sa faveur, en confirmant que les garanties responsabilité civile du contrat de Sony ne couvraient pas les frais engendrés par les actions en justice résultant de ce type d’attaques.
  • En 2014, Sony Pictures Entertainment avait souscrit une police commune avec Sony Corporation of America auprès du courtier Marsh, afin de couvrir les préjudices subis à la suite d’une cyberattaque pour un montant maximum de 60 millions de dollars. Contrairement au hack de 2011, Sony a pu être indemnisé de l’essentiel du préjudice subi.

Ces deux événements marquent une évolution majeure de la perception du risque par les entreprises, en prouvant que des pirates informatiques compétents et déterminés pouvaient s’introduire et se maintenir dans un système pendant des semaines sans être détectés, voler des quantités de données gigantesques, et interrompre totalement les activités de l’entreprise pendant plusieurs semaines. D’autres attaques très médiatisées, telle celle qui a touché le site de rencontre Ashley Madison en 2015, ont à chaque fois suscité un regain d’intérêt sensible pour l’assurance.

Quel avenir pour l’assurance dans le domaine de la cybersécurité ?

En conclusion, les perspectives semblent plutôt favorables au développement de l’assurance contre les cyber-risques. La médiatisation des attaques de plus en plus spectaculaires et contre des cibles de plus en plus petites entraîne une prise de conscience de la nécessité de s’en protéger. Les difficultés rencontrées par les assureurs dans l’évaluation de ce type de risques sont en train de s’atténuer au fur et à mesure que le temps passe et que les cas s’accumulent. On peut raisonnablement penser que les offres existantes vont devenir de plus en plus compétitives en termes de prix et de garanties, et que les assureurs sauront jouer la carte du service en proposant un audit informatique renforcé au préalable de toute offre de couverture.

Les assureurs peuvent également compter sur l’évolution de la réglementation pour renforcer la demande chez les entreprises. En effet, une nouvelle réglementation européenne imposera dès l’année prochaine d’informer la CNIL et les personnes dont les données personnelles auraient pu être compromises par une faille de sécurité. Il deviendra donc de plus en plus risqué d’essayer de cacher un piratage, avec des impacts en termes de réputation auprès d’un grand public de plus en plus sensibles à la protection de ces données personnelles.

Nous pouvons également relever l’obligation dans le cadre de Solvabilité 2 de donner aux « autorités de contrôle [les] moyens, méthodes et pouvoirs appropriés pour évaluer les risques émergents détectés par ces entreprises et susceptibles d'affecter leur solidité financière », qui devrait jouer un rôle positif pour le marché de la cybersécurité, au moins indirectement.

Toutefois, le marché est encore loin de la maturité, et d’autres facteurs contribuent à en retarder le développement. En effet, quand il s’agit de cybersécurité, l’approche assurantielle est encore concurrencée par une approche technique centrée sur l’utilisation d’outils de plus en plus puissants. Toutefois, comme partout, le risque zéro n’existe pas en informatique, et l’efficacité des outils est largement conditionnée par la formation des utilisateurs. De plus, il existe encore souvent une redondance entre les produits spécialisés dans la cybersécurité et les garanties offertes par des produits de RC « classiques », qui peuvent également comporter des clauses spécifiques sur les risques informatiques. L’assuré peut parfois avoir l’impression trompeuse d’être couvert, et considérer la souscription d’une garantie spécifique à la cybersécurité comme un doublon ou un « gadget ».

Un dernier point qui selon nous peut retarder l’adoption généralisée de ces contrats, réside dans l’écart qui peut exister entre le plafond des garanties offertes par les assureurs et le préjudice énorme que peut engendrer une attaque réussie. Au regard des expériences récentes comme les deux hacks de Sony rappelés ci-dessus, il peut sembler économiquement plus rationnel de supporter seul ce risque avec une approche purement « technique » que de payer une prime non négligeable pour un montant de garantie qui dans le pire des cas ne couvrira qu’une infime partie du dommage subi.

Ecrit par Alexis Gaubert, Consultant Senior et Pierre Menthon, Consultant