La transformation numérique de l’économie, le contexte sanitaire et les modes de travail à distance placent les cyber-risques au centre des préoccupations des dirigeants d’entreprises. Nous avons interviewé Christophe DELCAMP – Directeur adjoint des assurances de dommages et responsabilité à la FFA
Les cyber attaques sont un nouveau risque majeur pour toutes les entreprises, quelles que soient leurs tailles. Est-ce que ce risque, dans sa totalité, est assurable ?*
Cette question est très large. Dans un 1er temps, il convient de replacer le contexte. Un risque est un aléa avec un enjeu. En matière de cyber risques, l’aléa est une attaque cyber, et le contrat d’assurance est bien là pour couvrir cet aléa, ses conséquences. Les différents contrats d’assurance peuvent couvrir les conséquences des attaques cyber. Les fonds mobilisés sont couverts par un contrat cyber, mais tous les contrats de responsabilité peuvent être utilisés pour ce type de risque. En termes de garantie donc, les conséquences dommageables sont toutes assurables, il faut donc mobiliser l’ensemble des garanties d’assurance.
Cependant une question se pose. Est-ce que les amendes et les demandes de rançons sont assurables ? Aujourd’hui nous sommes en zone grise, il n’y a pas de loi, de règlement. Il faut d’abord lever cette zone grise pour savoir si les amendes et les demandes de rançons sont assurables. Une récente directive de l’Office of Foreign Assets Control aux Etats-Unis recommande de ne pas verser de rançon et le Federal Bureau of Investigation a mis en garde contre le paiement des rançons. Ces éléments vont dans le sens du non-paiement des rançons demandées par les hackers.
L’enjeu des attaques cyber, lié à l’assurance, est la somme de toutes les conséquences dommageables. Est-ce que ces montants sont assurables ? Lorsque nous prenons les besoins de capacité pour les TPE/PME il n’y a aucun souci. Par contre, pour les très grandes entreprises la question est différente, les capitaux qui demandent à être assurés sont colossaux et là les montants devant être couverts sont très compliqués à assurer.
Le risque cyber subit le contrecoup de ce contexte général évoqué, et d’un point de vue des capacités à mettre en œuvre, le risque n’est pas forcément assurable dans sa globalité. Sur ce type de risque, il est parfois très difficile de délimiter le risque, des centaines d’entreprises peuvent tomber en conséquence d’une cyber attaque. Les assureurs savent faire en termes de garanties et de services, mais en termes de capacité cela devient très compliqué, ils travaillent pour délimiter les couvertures et les engagements. Dommages aux biens, responsabilité civile, contrat cyber sont là pour les conséquences des risques cyber et il faut déjà identifier les engagements sur chacun de ces contrats. La grande difficulté réside dans le fait que certains contrats peuvent être déclenchés contre les conséquences de certains cyber sinistres. Ces « couverture silencieuses » (ou « silent cover ») créent des craintes en raison du potentiel de degré d’exposition dans les portefeuilles d’assurance au risque cyber. Cette année, l’enjeu est de travailler sur les garanties actuelles.
Il semblerait que les petites entreprises aient une difficulté à percevoir l’articulation entre l’assurance responsabilité civile de l’entreprise et un contrat d’assurance Cyber. Quel est votre avis ? N’y-a-t-il pas la nécessité de pédagogie par les assureurs ?
Il faut que les entreprises soient bien accompagnées par un professionnel de l’assurance et il est nécessaire d’avoir une montée en compétence des réseaux sur ce sujet, c’est un enjeu majeur. Elles peuvent également aller sur le site www.cybermalveillance.gouv.fr, qui est la référence sur le sujet, avec tout une série d’informations, de mise en relation de victimes avec des prestataires compétents de proximité.
Le marché de la cyber assurance est en pleine structuration ? L’année 2020 a constaté une forte augmentation des cyber attaques. Disposez-vous de statistiques sur la sinistralité, le montant des indemnisations des années précédentes ?
Il s’agit d’un risque jeune et la consolidation des statistiques est compliquée. En 2019, 105 Millions d’Euros de primes ont été encaissées, en termes de sinistre il est difficile de consolider les données de l’ensemble des garanties. En France, il n’y a pas de sinistralité consolidée, mais le sentiment général de la profession est que les sinistres sont fortement à la hausse. Nous construisons en ce moment les fondations de ce qui pourrait être assuré dans les décennies prochaines, comme pour le risque incendie il y a quelques décennies.
Beaucoup évoque que la vulnérabilité cyber des entreprises, vient assez fréquemment de l’intérieur. Tout comme les mesures d’hygiène personnelle pour essayer de prévenir les risques liés à la Covid ou d’autres virus, l‘hygiène numérique de base, n’est-elle pas d’une importance capitale pour les entreprises qui veulent se protéger contre les menaces cyber. Comment la prévention de ce risque doit-elle s’envisager ?
L’enjeu sur la formation et la sensibilisation sont considérables. L’intérieur de l’entreprise est la clé pour prévenir ce type de risques. Il faut d’ailleurs que les entreprises puissent voir le guide de l’ANSSI et les mesures basiques, les gestes barrières qui peuvent significativement diminuer les risques cyber afin d’éliminer les « petites » attaques.
Demain, l’assureur ne sera-t-il pas plus « intrusif » en aval de la souscription de contrat de cyber assurance, avec des recommandations impératives auprès des entreprises ? Comment la prévention de ce risque doit-elle s’envisager ?
Je ne vais pas employer le terme intrusif. Il est nécessaire d’avoir une relation de confiance avec l’entreprise car l’assureur a simplement besoin d’informations. L’assureur doit connaître, comme pour un risque d’incendie, quelles sont les précautions prises, ou pas. Un des points structurants du risque cyber est que la donnée, aujourd’hui est une richesse, et quand l’assureur pose des questions sur les données il peut y avoir de la méfiance des entreprises. Il faut bien que les entreprises comprennent que les assureurs ne sont pas là pour récupérer des informations, mais pour véritablement apprécier, mesurer et assurer le risque. Ce qui est naturel dans le cadre d’autres risques d’entreprise, dans le cadre d’une relation saine, doit être à l’identique sur les cyber risques.
Le potentiel de croissance du marché de l’assurance cyber est-il important pour les 15 ans à venir ? Avez-vous des estimations ?
Beaucoup d’assureurs voyait le cyber risques comme un marché de croissance et donc ne se posaient pas trop de questions. Il y a 5 ans, nous étions sur un marché émergent avec un potentiel fort. Aujourd’hui, nous revenons à des relations plus équilibrées comme sur toutes les autres branches. Je pense que 2021 sera une année charnière pour ce type de risques, son potentiel de croissance dépendra des résultats de cette année et surtout de comment nous arriverons à gérer, ce que j’évoquais précédemment, les risques silencieux.
Les contrats cyber excluent-ils aujourd’hui une pandémie cyber ? Et demain ? Quelles éventuelles conséquences d’une pandémie cyber sur l’Assurance ?
Un virus informatique ne va-t-il pas être la prochaine pandémie ? Beaucoup se posent la question. Le risque cyber ne doit pas devenir un risque systémique. Si le travail est correctement fait par les assureurs pour analyser leurs cumuls d’engagement, si le travail est correctement fait par les intermédiaires et les entreprises en termes de prévention, il n’y aura pas de risques de pandémie cyber. Il faut toujours passer par les fondamentaux, un travail bien fait par l’ensemble des parties et ainsi nous pourrons clairement identifier ce qui est assurable.
Jean-Luc Gambey – L’assurance en Mouvement / Vovoxx
*ITW du magazine « Dessine-moi l’Assurance » que vous pouvez télécharger, diffusé gratuitement à 47 000 professionnels assurance dont 30 000 intermédiaires de proximité (agents généraux, courtiers/courtiers grossistes, cabinets de CGP).
Le #3 de ce magazine est prévu pour fin novembre 2021. Si intérêt, n’hésitez pas à nous contacter.