Souvent moins bien protégées que les grands groupes, les petites et moyennes entreprises sont la cible privilégiée des hackers. Pour les entreprises et quelles que soient leurs tailles, une très bonne connaissance des enjeux cyber est nécessaire pour bien en prévenir les risques. Pour nous en parler, nous avons sollicité François-Xavier Combe, Ceo de Easyblue, « coach d’assurance pour les Entrepreneurs ».
François-Xavier, selon vous, les cyber attaques, nouveau risque majeur ? Risque évolutif, polymorphe et assurable ?
C’est évidemment LE nouveau risque majeur pour notre monde et particulièrement pour les Entreprises. On a bien vu d’ailleurs dès le premier confinement les cyber attaques exploser, conséquence directe du télétravail massif. Les nouvelles technologies sont en perpétuelles évolutions, nos systèmes d’informations sont de plus en plus liés les uns aux autres, de plus en plus sophistiqués mais les Hackers le sont tout autant. C’est un risque nouveau que les assureurs doivent apprendre à mieux comprendre pour mieux l’assurer.
Quid du marché actuel et son potentiel ?
Les cyber attaques sont quotidiennes partout dans le monde. Les assurances couvrent aujourd’hui 5 milliards de dommages suite à des attaques cyber versus 700 milliards de dollars de dommages subis. La cyber assurance est donc un marché en devenir via l’équipement des Entreprises et en premier lieu pour les TPE afin de protéger les activités exposées et permettre une vraie mutualisation des risques. Il y a fort à parier que les croissances de primes sur ce risque seront un vrai moteur pour les assureurs dans la décennie qui s’ouvre. Selon Munich Ré, le marché pourrait atteindre les 20 milliards de dollars de prime en 2030 contre environ 7 milliards aujourd’hui.
Qu’en est-il des offres de cyber assurance et les services associés (anticipation des risques, accompagnement ….) ?
Ces nouveaux risques sont un défi pour les assureurs dans l’approche de prévention des risques, d’aide à l’accès à une meilleure cybersécurité, d’accompagnement des clients dans les services post-sinistres. L’un des premiers défis est de pouvoir “démocratiser” l’accès à des contrats de cyber assurance pour une très grande partie des TPE et indépendants qui ne trouvent pas de contrat adapté à leurs risques et à leurs budgets. Il faut également se positionner en amont du risque pour aider les Entrepreneurs à mettre en place les “bonnes pratiques” en matière de cyber sécurité et nouer des partenariats avec des sociétés spécialisées en audit cyber risques pour renforcer la prévention des risques.
Comme évoqué plus haut, il y a une distorsion énorme entre la charge sinistre réellement supportée par les entreprises en cas de cyber attaque et les dommages supportés par les assureurs. Il y a là deux volets , une question liée à la nécessité de couvrir une très grande partie des entreprises pour garantir une meilleure mutualisation et un pricing plus proportionné aux moyens des entreprises concernées. Le deuxième volet concerne la difficulté à évaluer un risque mouvant et présentant intrinsèquement un risque systémique. On le voit au travers de la pandémie actuelle et les potentielles solutions d’assurance proposées.
Quelle est l’évolution potentielle de ce type de risques et les garanties/services d’assurance.
Il est évident que ce face à ce risque, devenant le premier risque des entrepreneurs, les assureurs doivent se lancer dans ce marché, mais pas à n’importe quel prix. Les clients devront aussi être mis à contribution en s’obligeant à mettre en place de vraies procédures de cyber sécurité au sein de leurs entreprises pour agir en prévention de ces risques et tenter de limiter les dommages post-attaque. En cela les assureurs ont un rôle à jouer qui va au-delà de la simple indemnisation du sinistre. Les contrats de cyber assurance doivent comporter de plus en plus de volets serviciels, par exemple :
- Avant sinistre : cellule conseil et accompagnement des préventions des risques cyber
- Outils d’audit des risques et particulièrement risques cyber
- Après sinistre, cellule d’assistance post sinistre, mise en relation 24/24 avec des prestataires experts dans la restauration de données, agence d’aide en cas d’atteinte à la e-réputation,…
Les contrats cyber excluent-ils aujourd’hui une pandémie cyber ? que fera-t-on si demain, il y a une attaque cyber contre un pays ?
Non, il n’y a pas d’exclusion, le seul fait de subir une cyberattaque est déclencheur de la garantie et de la perte d’exploitation si le client l’a souscrit. Néanmoins, ce qui relève d’actes de guerres demeurent exclus des contrats ce qui est une exclusion générale en matière d’assurance et le cyber guerre ne fait pas exception.
Réécouter le Podcast du 16/12 dernier « Entre hygiène informatique et pandémie numérique : quels rôles pour l’assurance ? » Avec : Eric Lamouret, Julien Nelkin, Jean-Charles Naimi et Jean-Luc Gambey
Nous proposons un cycle de communication sur le sujet des risques cyber, sur l’ensemble de nos supports : L’assurance en mouvement, webtv, podcasts, événements, et magazines). Si vous êtes intéressé, n’hésitez pas à nous contacter.