Les attaques informatiques criminelles contre des entreprises ou des institutions ont explosé l’an dernier en France, a indiqué lundi 11 janvier Guillaume Poupard, directeur général de l’Anssi, l’agence publique gardienne de la sécurité informatique française..Pour les entreprises et quelles que soient leurs tailles, une très bonne connaissance des enjeux cyber est nécessaire pour bien en prévenir les risques et s’assurer. Pour nous en parler, nous avons sollicité Christophe Madec – Directeur de clientèle – Grandes entreprises. Expert Cyber / Fraude – Bessé
Christophe, les cyberattaques, nouveau risque majeur ? Risque évolutif, polymorphe et assurable ?
Très clairement un nouveau risque majeur, lié au développement du digital et aux vulnérabilités intrinsèques que portent les technologies du numérique. Un risque évolutif aussi et des menaces de plus en fortes ou peut se poser la question de l’aléa et donc de l’assurance.
Quel est l’état du marché actuel Français et son potentiel ?
La branche d’assurance Cyber est encore jeune en comparaison avec les branches Dommages aux Biens ou Responsabilité Civile. Le marché de l’assurance Cyber en France, tout comme ailleurs, est actuellement en phase de rétraction du fait de l’explosion de la sinistralité en 2020 notamment. Le potentiel de croissance reste par contre important pour un marché de l’assurance Cyber que l’on présente comme l’un des tous premiers marchés d’assurance IARD sur les risques d’entreprise dans les 15 ans à venir. Les conditions pour asseoir l’assurabilité de ce risque vont par contre devoir évoluer pour assurer la pérennité de cette branche. Des adaptations seront nécessaires tant au niveau de l’assurance que des entreprises.
Selon vous, quelle est d’un point de vue général, le niveau de connaissance des risques cyber des entreprises ?
La sensibilisation effectuée ces dernières années auprès des entreprises a été efficace. Sur ce point, il convient de souligner l’excellent travail d’information et de documentation mené par l’ANSSI en particulier. Ceci étant, globalement, le niveau de conscience de ce risque reste insuffisant. Il le restera car ce risque est invisible, imperceptible et très attaché à des notions techniques complexes à appréhender.
Une bonne gestion du risque Cyber pour toute entreprise devrait s’articuler autour de trois composantes.
- L’appréciation du niveau de son risque au regard de son architecture IT et l’estimation des impacts tant métiers que financiers qui en découlent en cas d’attaque Cyber.
- La mise en œuvre de mesures pour minimiser ce risque,
- La capacité de l’entreprise à réagir rapidement et efficacement en cas de crise ce qui sous-entend une préparation en amont.
Les entreprises ont-elles conscience du risque financier et du risque d’image en cas de cyber attaque ?
Dans une certaine mesure. Sur le risque d’image, le constat est que les stratégies mises en œuvre pour préserver la réputation de l’entreprise diffèrent beaucoup d’une entreprise à une autre. Certaines jouent la transparence quand d’autres restent extrêmement discrètes. Sur le risque financier, l’appréciation des impacts métiers et la quantification des conséquences financières n’est pas un exercice simple. Les entreprises ont généralement une appréciation optimiste car bien souvent elles n’appréhendent pas suffisamment leur niveau de dépendance à l’informatique. En transférant ce risque à l’assurance, l’assureur hérite donc aussi des incertitudes de l’entreprise sur son niveau d’exposition au risque Cyber.
Les entreprises sont-elles responsabilisées sur la nature du risque, l’hygiène informatique indispensable et les gestes barrières pour se prémunir des risques cyber ?
Les entreprises sont sans aucun doute sensibilisées. La responsabilisation passent par la définition et la mise en œuvre d’une véritable stratégie en matière de Cybersécurité. Sur ce point, les axes de progrès sont encore importants.
La cyber sécurité est-elle au sommet des priorités quotidiennes des entreprises ? Des actions de sensibilisation, de prévention sont à mener régulièrement pour les entreprises. Le font-elles ?
Les questions de Cyber sécurité s’invitent dans les Comex plus fréquemment et sont présentes chez tous les grands groupes. La crainte des conséquences d’une attaque Cyber sur le niveau d’activité semble par contre l’emporter sur les risques liés à l’espionnage industriel via le vol d’informations sensibles. Pour ce qui touche à la prévention du risque Cyber par l’assurance, nous en sommes au début. Demain, l’assureur sera probablement plus « intrusif » auprès des DSI, au travers de recommandations impératives. Au niveau des entreprises, la prévention de ce risque doit s’envisager de manière globale et aller au-delà du simple renforcement des mesures de sécurité. L’épaisseur de la muraille ne préjuge pas d’un bon niveau de Cybersécurité. Beaucoup d’entreprises considèrent aussi avoir réduit leurs expositions au risque Cyber en externalisant l’hébergement de leurs données chez un prestataire Cloud. Si la sécurisation des données est à priori améliorée, trop peu d’entreprises s’interrogent sur les risques et les conséquences de la défaillance d’un tels prestataires. Le risque est au final déporté vers un tiers, mais toujours présent.
En tant qu’intermédiaires d’assurance de proximité, la cyber assurance est-elle pour vous un levier de croissance ?
Le marché de l’assurance Cyber en France a réellement décollé à partir de 2017. Le niveau d’expertise en souscription a fortement évolué et va encore se renforcer. Cette expertise est indispensable à une bonne compréhension des risques, des enjeux financiers, et pour optimiser les conditions de transfert à l’assurance. Apporter cette valeur ajoutée ouvre de réelles opportunités de croissance.
Le développement de la menace Cyber et la hausse du nombre d’attaques catalyse la demande. L’offre a par contre tendance à se rétracter et la sélection des risques à devenir plus pointue. La capacité du marché a été divisée par 2 en l’espace d’un an. Nous sommes actuellement dans une période charnière. Quoiqu’il en soit les risques liés aux numériques sont réels et vont être croissants. La cyber assurance a donc vocation a être un levier de croissance.
Il y a-t-il, selon vous une augmentation de la demande pour la cyber assurance ?
Très clairement. Cette augmentation de la demande en Cyber Assurance s’explique avec l’augmentation inquiétante des attaques Cyber sur 2019/2020.
Les contrats de cyber assurance sont-ils, selon vous adaptés aux besoins de vos clients ? Présentent-ils des forces/faiblesses ?
La question s’appréhende à deux niveaux. Le premier qui est de savoir si l’entreprise est correctement assurée en termes de montant garanti. Le deuxième est de s’interroger sur la qualité des couvertures proposées au regard des préjudices potentiels. L’appréciation des montants à assurer manque encore d’assise pour être véritablement corrélée aux conséquences financières raisonnablement escomptables en cas de sinistre majeur. L’exercice n’est toutefois pas simple à réaliser. Au niveau des garanties proposées, les schémas sont aujourd’hui structurés et relativement homogènes. Au plan contractuel, nous ne sommes pas encore au niveau de maturité existant sur les branches traditionnelles, RC ou Dommages aux biens par exemple. Les polices existantes sur le marché sont difficilement comparables entre elles car les terminologies employées ne sont pas encore unifiées.
Comment se traduit concrètement votre rôle de conseil sur ce type de risques ?
Notre rôle de conseil s’appuie sur 2 axes. Dans une première phase, nous structurons une approche qui va permettre d’identifier et de mesurer les enjeux Cyber au niveau de l’entreprise. Nous discutons avec l’entreprise sur ces expositions aux risques cyber et la quantification des impacts. Nous structurons ensuite la présentation qui sera faite au marché de l’assurance afin de faciliter le placement des dossiers.
Sur ce type de risque vous sentez-vous assez formé, informé, … ?
Sur ce sujet comme beaucoup d’autres, à chacun de se prendre en main. Ceci étant, les informations sur ce risque se sont multipliées et il est difficile de passer à coté.
Réécouter le Podcast du 16/12 dernier « Entre hygiène informatique et pandémie numérique : quels rôles pour l’assurance ? » Avec : Eric Lamouret, Julien Nelkin, Jean-Charles Naimi et Jean-Luc Gambey
Nous proposons un cycle de communication sur le sujet des risques cyber, sur l’ensemble de nos supports : L’assurance en mouvement, webtv, podcasts, événements, et magazines). Si vous êtes intéressé, n’hésitez pas à nous contacter.