L'assurance des cyber-risques
 © CSIRO, CC BY 3.0 |
L’infection d’une entreprise par un virus informatique peut aisément se propager à une autre par le biais de ces interconnections. La sécurité informatique mise en place par chacune d’elles est cruciale mais ne peut garantir une protection infaillible.
Il suffit d’un maillon faible dans la chaîne des partenaires commerciaux pour qu’une faille se présente. Si les entreprises restent vulnérables, elles doivent donc s’organiser à plusieurs niveaux.
Au-delà des renforcements législatifs et des mesures de protection interne, le transfert de tout ou partie des cyber-risques vers un assureur reste un des moyens les plus utilisés par les entreprises pour faire face à ces nouvelles menaces.
Les sociétés qui souscrivent une police d’assurance sont généralement celles qui ont la possibilité d’évaluer l’impact financier d’une cyber-attaque. Au premier rang de celles-ci figurent les entreprises de commerce en ligne et celles dont l’activité est basée sur l’utilisation, le stockage de données privées ou confidentielles.
Les débuts de l’assurance des cyber-risques
Les premières polices d’assurance des cyber-risques ne couvraient que les seuls préjudices matériels, c’est-à-dire les dommages physiques, subis par les appareils informatiques.
Il y a une douzaine d’années, l’assureur ACE fut le premier à y introduire des garanties complémentaires contre les dommages immatériels et une couverture des éventuels sinistres causés aux tiers. Hiscox, Chartis (ex AIG) et Zurich lui ont rapidement emboîté le pas.
Depuis 2003, les assureurs ont généralement exclu les cyber-risques des polices traditionnelles afin de les cantonner à des polices qui leur sont spécialement dédiées. L’accumulation des risques est alors mieux gérée. Depuis cette date, une majorité de contrats d’assurance et de réassurance comporte une clause explicite excluant tout sinistre d’une telle origine (Cyber Attack Exclusion clause dite CL380).
Même si un nombre non négligeable d’assureurs offre la garantie contre les risques cyber dans ses polices standards, cette assurance est de plus en plus souscrite séparément.
Il devient évident que les polices standards n’excluant pas les attaques informatiques de leur champ de garantie ne répondent pas nécessairement aux besoins spécifiques des assurés. Seules celles commercialisées par des assureurs spécialisés proposent aux clients une protection adéquate.
Ces assurances peuvent être personnalisées et inclure, entre autres, la défense juridique, la décontamination virale, la récupération des données affectées, l’aide à la protection interne, l’envoi d’experts, les pertes d’exploitation, la responsabilité civile, etc. (voir l'article : La sécurité informatique).
Assurance des cyber-risques : le renforcement de la réglementation
Le renforcement de la législation est partiellement responsable du développement de ce marché. Aujourd’hui dans de nombreux pays, les entreprises sont tenues par la loi d’adopter des mesures de protection. Dans ces mêmes pays, une obligation de déclarer les incidents a également vu le jour. Ces mesures ont favorisé l’éclosion de l’assurance des cyber-risques.
L’Union Européenne envisage, par exemple, une nouvelle réglementation qui imposerait une amende en cas de mise en évidence de négligence dans la protection des systèmes informatiques ayant abouti à la perte ou la prise de contrôle d’un certain type de données dites confidentielles ou privées. En cas de vote de la loi, cette pénalité financière pourrait aller jusqu’à 5% du chiffre d’affaires de l’entreprise incriminée ou à un maximum de 120 millions USD.
Assurance des cyber-risques et typologie des attaques informatiques
Les assureurs spécialisés dans la couverture des risques informatiques ont développé des scénarios dits « réalistes », prolongés par des analyses des produits d’assurance éventuellement affectés par ce type d’événement. Une cartographie des risques avec des études de cause à effet contribue également à l’évaluation de l’exposition.
Cette démarche permet de visualiser à quelle catégorie de cyber-risques les assureurs sont exposés et à quel degré.
De façon générale, les assureurs identifient quatre différentes formes d’attaques :
- Celles affectant les polices d’assurance spécifiquement dédiées à la couverture des cyber-risques. Ces attaques concernent les industries fortement dépendantes de l’utilisation des systèmes d’information. Les secteurs des services financiers, de la santé, de l’e-commerce sont particulièrement visés. La propagation d’un virus peut provoquer des dommages chez plusieurs assurés. Une accumulation de sinistres est alors possible pour un assureur. Le stockage de data grâce au cloud crée un risque supplémentaire.
- Celles affectant les assurances traditionnelles : c’est le cas du virus Stuxnet par exemple (voir l'article : La cybercriminalité). Les dommages aux infrastructures peuvent engendrer des pertes colossales. La mise hors service des ordinateurs d’un ou plusieurs centres de contrôle aérien par exemple menacerait la sécurité des avions dans un périmètre plus ou moins vaste.
- Les événements dits «non-cyber» mais affectant les polices d’assurance des cyber-risques : cela peut être le cas lors de la perte de données sensibles par vol ou perte d’une clé USB, d’un ordinateur portable. Une catastrophe naturelle peut être responsable d’une telle perte. Il en est de même si des dossiers « papier » contenant des données sensibles étaient perdus, volés ou endommagés par une catastrophe naturelle.
- Celles affectant l’activité même de l’assureur ainsi que celle de ses assurés : ces attaques informatiques correspondent à un scénario extrême. Elles peuvent être déclenchées lors d’une opération terroriste ou de guerre « passive » paralysant tout ou une partie d’une ville ou d’un pays suite à la mise hors service d’une centrale électrique par exemple. L’accumulation des sinistres pour l’assureur est alors maximale.
Essor de l’assurance des cyber-risques
Les dommages causés à la réputation, la perte de confiance des actionnaires, la divulgation d’éléments de propriété intellectuelle, le coût engendré pour rétablir les systèmes informatiques et récupérer les données perdues sont autant de facteurs nouveaux qui incitent les entreprises à s’assurer et contribuent ainsi au développement du marché de l’assurance des cyber-risques.
Selon le rapport de Global Risk Insight Platform d’Aon, la couverture des risques informatiques a connu un essor annuel de 38% entre 2009 et 2014. Plus de 30% des firmes américaines disposent d’une assurance contre la piraterie informatique. L’engouement pour l’assurance des cyber-risques est fonction du chiffre d’affaires des entreprises.
Air Worldwide a récemment publié le taux de souscription des entreprises à une police couvrant les risques informatiques en fonction des revenus générés. Le pourcentage varie de 3% à 25% selon le chiffre d’affaires de la société.
Taux de souscription de l’assurance cyber-risques selon les revenus des entreprises
Source: Air Worldwide 2015Marché américain de l’assurance des cyber-risques
Aux Etats-Unis, le volume des primes provenant de ce segment a plus que triplé en l’espace de quatre ans. En 2013, le marché de l’assurance des cyber-risques représente déjà 1,3 milliard USD. Les estimations de primes pour l’année 2014 avoisinent les 2 milliards USD :
Le volume des primes aux Etats-Unis : 2010-2014
en milliards USD
* E= Estimation Source: Air Worldwide 2015Marché européen de l’assurance des cyber-risques
Le marché européen de l’assurance des cyber-risques est récent. Il était estimé à 150 millions USD en 2014. Le nombre d’attaques en Europe a connu une augmentation de 40% au cours de l’exercice passé. Les derniers incidents révélés (voir Atlas Magazine, N°121- mai 2015, « La cybercriminalité ») participent sans aucun doute à la prise de conscience de la nécessité d’une telle assurance.
Selon l’assureur allemand Allianz, le volume de primes engendré par l’assurance contre les cyber-risques devrait atteindre entre 850 et 1 100 millions USD en Europe à l’horizon 2019.
L’attrait du marché de l’assurance des cyber-risques
Le marché de l’assurance des risques informatiques est principalement concentré dans les pays anglo-saxons. Aujourd’hui, une trentaine d’assureurs/réassureurs ainsi que des syndicats du Lloyd’s se sont spécialisés dans cette branche, notamment : ACE, Allianz Global Corporate & Specialty, Axa Corporate Solutions, Barbican, Beazley, Chartis, CNA, Hannover Re, Hiscox, Munich Re, Swiss Re, XL Group et Zurich.
Les capacités assurantielles mondiales mises à la disposition des assurés sont estimées à plus de 400 millions USD. Les limites moyennes sont néanmoins bien inférieures. Elles n’excèdent pas, dans la majorité des cas, les 30 millions USD par risque, Allianz pouvant porter sa capacité à 60 millions USD pour certains risques. Au vu des technologies et menaces recensées, les garanties proposées par les assureurs sont jugées aujourd’hui suffisantes.
Capacités offertes par quelques assureurs et syndicats du Lloyd’s :
18 à 30 millions USD | 60 millions USD |
|---|---|
Ace, CNA, Axa C.S., Beazley, XL, Zurich | Allianz |
Plusieurs courtiers ont également investi ce domaine. Aon ou Gras Savoye par exemple ont développé une technicité qui leur permet d’apporter une plus-value à leurs clients.
Malgré cette croissance, l’agence Fitch Rating estime que l’offre de cyber réassurance restera limitée. Les réassureurs excluent ce risque des traités standards et ne semblent pas s’engouffrer outre mesure dans ce marché, du fait d’une législation encore incertaine.
Néanmoins, dans la période soft actuelle et sous la pression de la concurrence, inclure ce risque dans leurs traités incendie et pertes d’exploitation permettrait aux réassureurs de lutter contre la baisse des volumes de primes. Cette approche pourrait être confortée par l’amélioration de la connaissance des risques. Les études confirment que le manque d’expertise, la compréhension insuffisante des cyber-risques et la faiblesse des outils de modélisation constituent pour l’heure des obstacles majeurs au développement de cette branche de réassurance.
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
