Les attaques informatiques criminelles contre des entreprises ou des institutions ont explosé l’an dernier en France, a indiqué lundi 11 janvier Guillaume Poupard, directeur général de l’Anssi, l’agence publique gardienne de la sécurité informatique française..Pour les entreprises et quelles que soient leurs tailles, une très bonne connaissance des enjeux cyber est nécessaire pour bien en prévenir les risques et s’assurer. Pour nous en parler, nous avons sollicité Fabian Willi, Senior Cyber Solutions Manager chez Swiss Re.
Fabian, selon vous, les cyber attaques, nouveau risque majeur ? Risque évolutif, polymorphe et assurable ?
Il est difficile d’imaginer un monde sans technologie aujourd’hui. Nous sommes nombreux à utiliser régulièrement Internet dans notre vie professionnelle et privée. Nous communiquons avec nos partenaires commerciaux, notre famille et nos amis en ligne, nous consommons de la musique et des films en streaming, nous réglons nos factures par e-banking, nous commandons de la nourriture et, il y a quelques semaines à peine, nous avons acheté la plupart de nos cadeaux de Noël dans des boutiques en ligne, en étant confortablement installés sur notre canapé. Si la numérisation présente de nombreux avantages pour notre économie et notre société, elle est également associée à de nouveaux risques majeurs. En raison de la rapidité des progrès technologiques et de l’interconnectivité croissante, la dépendance des entreprises et des individus vis-à-vis de l’informatique et d’Internet ne fera qu’augmenter et gagner en importance à l’avenir. La crise associée à la pandémie de Covid-19 a accéléré cette tendance, ce qui a conduit à une intensification de la cybercriminalité mondiale. Ce qui est compliqué avec le risque cyber, c’est qu’il présente de nombreuses facettes différentes et change constamment de nature. Alors qu’il y a encore quelques années, les violations de données à grande échelle, comme celles de Yahoo ou de Marriott, faisaient la une des journaux, les campagnes de ransomware et d’extorsion ont aujourd’hui évolué pour devenir l’un des principaux vecteurs d’attaque. La cybercriminalité est une réalité depuis longtemps et peut affecter tout le monde. Il n’est donc pas surprenant qu’aujourd’hui, les cyber menaces fassent partie des principaux risques pour de nombreuses entreprises.
Mais que peuvent faire les entreprises et les individus pour se défendre contre les risques cyber ? Il convient avant tout de reconnaître que notre propre comportement peut faire la différence. Tout comme nous tentons de venir à bout du coronavirus en appliquant des mesures d’hygiène personnelle telles que la désinfection régulière de nos mains, le port d’un masque et le maintien de la distanciation sociale, l‘hygiène numérique de base, qui inclut l’utilisation de logiciels antivirus et pare-feu, la réalisation de sauvegardes régulières des données et le choix de mots de passe forts associés à l’authentification multifactorielle, est d’une importance capitale pour nous protéger contre les menaces cyber.
Cependant, même les entreprises les plus vigilantes, dotées d’une cybersécurité de pointe, ne seront jamais entièrement immunisées contre les risques. C’est là que l’assurance cyber intervient en contribuant à atténuer les risques et à transférer le potentiel de perte dû à ces risques résiduels. Les avantages de l’assurance cyber vont de l’aide à la prévention des risques cyber à l’octroi de compensations financières et de conseils d’experts à la suite d’un incident cyber. Ainsi, parallèlement à l’hygiène numérique de chacun, le secteur de la (ré)assurance peut contribuer grandement à rendre les entreprises et les individus plus résistants aux risques cyber.
Quid de l’évolution potentielle de ce type de risques et des garanties/services d’assurance ?
Par rapport à d’autres produits plus standardisés du marché de l’assurance de biens et de responsabilité, l’assurance cyber demeure une branche relativement nouvelle, et ses couvertures continuent d’évoluer, en phase avec la rapidité d’évolution du paysage des menaces cyber. Cependant, sur le marché de l’assurance cyber pour les entreprises, les éléments clés de couverture que devrait inclure une police de d’assurance cyber moderne semblent faire l’objet d’un consensus de plus en plus large. Ainsi, la plupart des produits couvrent les entreprises en cas de pertes financières dues à une interruption d’activité, à la restauration de données, à l’extorsion et à la fraude cyber, d’une part, et en cas de pertes liées à la responsabilité civile dues à une atteinte aux données ou à la sécurité du réseau, d’autre part.
Bien que les assurés accordent beaucoup d’importance à l’indemnisation en cas de sinistre cyber, ils considèrent le fait de pouvoir s’adresser directement à des experts capables de les aider à gérer les conséquences complexes d’une cyberattaque comme le principal levier de valeur de l’assurance cyber. C’est notamment le cas des petites et moyennes entreprises, qui ne disposent généralement pas de compétences internes approfondies en matière de cybersécurité. Ces services sont généralement offerts par des fournisseurs spécialisés et incluent, par exemple, une ligne d’urgence 24h/24 7j/7 pour l’assistance technique, un diagnostic informatique, une assistance juridique en gestion de crise ou encore une aide à la notification en cas de violation de données personnelles. Fournir aux assurés le niveau de service et d’assurance adaptés permet non seulement d’améliorer leur niveau de protection, mais également d’augmenter considérablement la valeur ajoutée pour les clients.
Quelle couverture de réassurance ? Quels services mis à disposition pour créer un produit de cyber assurance ?
Compte tenu de la complexité des risques cyber, les compagnies d’assurance qui envisagent d’entrer sur le marché de l’assurance cyber pour la première fois comptent souvent sur leurs partenaires de réassurance et de leur capacité de réassurance cyber, mais également de leurs compétences en développement de produits. Par conséquent, plusieurs réassureurs proposent des solutions de développement de produits cyber dédiés. Par exemple, chez Swiss Re, nous fournissons à nos clients l’ensemble du savoir-faire et des outils nécessaires pour lancer leur propre offre de produits d’assurance cyber pour le segment des PME et/ou des particuliers. Notre solution inclut entre autres l’accès à notre police d’assurance cyber, à notre questionnaire d’évaluation des risques, à une aide à l’élaboration d’un tarif et à une assistance à l’évaluation et à la sélection d’experts techniques pour la résolution des sinistres et la gestion de crise. Cela permet aux compagnies d’assurance de gagner du temps et d’économiser des ressources de développement produit afin d’accéder au marché en croissance rapide de l’assurance cyber tout en partageant le risque avec leur partenaire de réassurance.
Quelles évolutions du pricing des risques et de l’évaluation des risques ?
L’évaluation de la nature du risque cyber d’une entreprise constitue une étape essentielle du processus de souscription et de définition du niveau d’une prime appropriée pour l’assurance cyber. Généralement, les assureurs tentent dans un premier temps d’évaluer l’exposition potentielle d’une entreprise à diverses menaces cyber. Cela dépend principalement de :
- l’empreinte numérique de l’entreprise, c’est-à-dire du degré de dépendance à l’informatique de son modèle commercial, et
- de la quantité de données confidentielles et sensibles que l’entreprise recueille, stocke et traite.
Dans un deuxième temps, les assureurs évaluent la stratégie de cybersécurité de l’entreprise au moyen d’un questionnaire détaillé dans lequel les entreprises doivent indiquer les mesures d’hygiène numérique qu’elles appliquent pour se défendre contre les risques cyber. Pour obtenir une évaluation globale des risques, il est important d’évaluer non seulement les mesures techniques de cybersécurité, mais également les politiques et les processus mis en place par l’entreprise pour former ses employés aux pratiques de prévention et de gestion des risques cyber.
Les entreprises qui démontrent une hygiène numérique de pointe peuvent généralement bénéficier d’une réduction sur leur prime d’assurance cyber, alors que les entreprises dont la cybersécurité n’est pas assurée payent généralement un supplément de prime ou peuvent même refusées dans le cadre du processus de souscription. Dans tous les cas, certaines mesures d’hygiène numérique de base telles que l’utilisation d’une protection antivirus, l’application de correctifs réguliers, la réalisation de sauvegardes décentralisées régulières ainsi que la formation et la sensibilisation des employés doivent servir de base de référence aux entreprises de toutes tailles qui sollicitent une couverture d’assurance cyber.
Les offres et les services d’assurance en France (anticipation des risques, accompagnement) évoluent-ils ?
L’offre d’assurance Cyber pour les entreprises est aujourd’hui assez bien fournie chez les grands assureurs. Elle couvre aussi bien les spécificités des grands groupes, des ETI que des PME. L’offre s’est d’abord développée autour de garanties d’indemnisation et de services de gestion de crise, afin de proposer une protection face aux principaux risques Cyber mais aussi pour aider les entreprises à faire face à leurs obligations du Règlement Général sur la Protection des Données (RGPD).
Les sociétés d’expertises informatiques qui épaulent les assureurs dans leurs services ont ensuite développées des solutions d’audit, de test d’intrusion et de vulnérabilité, de surveillance des risques que les assureurs proposent maintenant souvent dans leur offre d’accompagnement et de prévention.
L’offre d’assurance Cyber pour les particuliers se base surtout sur l’indemnisation du préjudice et la protection juridique. Les services d’accompagnement sont encore assez peu développés.
Quel est le potentiel du marché français actuel vs le marché mondial ?
Le marché français est en forte croissance mais son potentiel est encore sous exploité. Sur le secteur des entreprises, on estime qu’environ 20% des entreprises ont une assurance cyber mais seulement 5% des PME alors que la quasi-totalité des ETI et des grands groupes sont assurés. La crise Covid-19 a poussé à la prise de conscience des entreprises face aux risques Cyber. Les nouvelles habitudes de travail, avec la généralisation du télétravail des employés et la hausse des attaques de ransomwares, avec les impacts économiques et opérationnels forts ont mis en lumière les avantages d’une couverture Cyber pour les entreprises.Le marché de l’assurance Cyber pour particulier est quant à lui encore à ses débuts partout dans le monde et présente donc un très fort potentiel de croissance.
Réécouter le Podcast du 16/12 dernier « Entre hygiène informatique et pandémie numérique : quels rôles pour l’assurance ? » Avec : Eric Lamouret, Julien Nelkin, Jean-Charles Naimi et Jean-Luc Gambey
Nous proposons un cycle de communication sur le sujet des risques cyber, sur l’ensemble de nos supports : L’assurance en mouvement, webtv, podcasts, événements, et magazines). Si vous êtes intéressé, n’hésitez pas à nous contacter.