TEST 15 JOURS

Le cyber, un risque difficile à assurer

Face à une hausse exceptionnelle des cyberattaques depuis le début de la crise sanitaire, il est devenu urgent pour les entités publiques et privées de se protéger. Parmi les éléments d’une politique de cybersécurité efficace, l’assurance cyber peut compléter des outils dédiés et la formation des employés. Pourtant, peu d’entreprises y recourent en France. Côté offre, le manque de données résultant d’une faible clientèle freine la modélisation du risque et se traduit par un ratio de sinistralité déséquilibré.
Par Caroline Soutarson. Publié le 09 mars 2022 à 17h44 - Mis à jour le 06 avril 2022 à 13h57
Synthèse

Le contexte

Alors que le risque cyber avait décéléré après un pic en 2017, l’arrivée du Covid-19 début 2020 a ravivé la tendance, décrivent les économistes Stéphane Lhuissier et Fabien Tripier dans un billet pour la Banque de France. Notamment en cause, la transformation des habitudes de travail découlant des confinements à répétition : travail à domicile, réunions en visio, utilisation indifférenciée des appareils électroniques professionnels et personnels… 

L’adaptation en urgence à une situation inédite a révélé des failles en termes de cybersécurité au sein des entreprises, dans lesquelles se sont engouffrés les cybercriminels. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a par exemple noté entre 2019 et 2020 un doublement des incidents cyber déclarés sur sa plateforme, ainsi qu’un quadruplement des attaques par rançongiciels.

La situation des travailleurs et des entreprises a été identifiée comme une aubaine pour les cyberattaquants qui en ont profité pour sophistiquer leurs offensives. Un article de Deloitte fait état d’une augmentation significative de l’innovation du côté des cyberattaquants, avec 35 % des cyberattaques effectuées via des logiciels ou des méthodes auparavant inconnues (contre 20 % avant la pandémie).

Face à cette vague de cybermalveillance, l’ANSSI et l’ensemble de l’écosystème cyber ont appelé les entreprises et les collectivités locales à se saisir des enjeux de cybersécurité, que ce soit au niveau informatique (mise en place d’un VPN, antivirus, sécurisation du réseau Wi-Fi domestique…) ou dans la formation des employés aux bonnes pratiques (sensibilisation à la cybersécurité, aux techniques d’hameçonnage…).

Autre outil mobilisable pour compléter l’arsenal : l’assurance cyber. Généralement soumise à un questionnaire sur les pratiques de cybersécurité au sein de l’entreprise, la couverture du risque cyber a la caractéristique d’être préventive (voir un exemple de questionnaire avec celui d’Hiscox). L’assureur évalue le profil de risque cyber d’une société et peut l’amener à modifier ses usages pour correspondre aux prérequis d’une politique de cybersécurité. L’assurance comprend aussi communément la couverture des pertes d’exploitation, les frais de gestion de crise, mais aussi de remédiation (reconstitution des données, remboursement des préjudices subis par des tiers…). Plus rare, l’assureur peut garantir le remboursement des rançons dans le cadre d’une cyberattaque par rançongiciel.

L’assurance cyber est encore peu développée en France. Les entreprises n’y ont pour la plupart pas recours, et les grandes entreprises qui franchissent le pas s’adressent principalement à des porteurs de risque anglo-saxons. Quant aux offres, leur périmètre de couverture n’est pas totalement arrêté, tout comme la quantification du risque.

Ces balbutiements sont à l’origine d’incompréhensions entre les risques couverts par les assureurs et ceux qui ne le sont pas. L’interprétation de certains contrats se fait ainsi devant les tribunaux, comme l’ont montré les affaires opposant Mondelez à Zurich ou le laboratoire Merck à Ace à la suite de l’épisode NotPetya. Les assureurs doivent par ailleurs se prémunir du risque de couverture silencieuse, c’est-à-dire des cas où un incident cyber peut activer des garanties de polices non cyber, ce qui peut déséquilibrer les portefeuilles existants.

La cyberassurance est toutefois vue par les responsables publics comme un élément clé dans la réponse à la cybercriminalité. D’ailleurs, la direction générale du Trésor a lancé une concertation nationale sur l’assurance du risque cyber à l’été 2021. En parallèle, la députée de la Loire Valérie Faure-Muntian a réalisé un état des lieux sur le sujet paru en novembre 2021 et a émis quelques propositions pour développer l’assurance cyber en France.

Les enjeux

  • Modélisation du risque cyber

En 2020, l’explosion de cyberattaques a eu des conséquences sur le ratio de sinistralité du risque cyber qui a dépassé les 100 %, ce qui veut dire que le total des primes ne couvrait pas l’entièreté des coûts liés aux sinistres. Ce déséquilibre démontre “le flou dans lequel baigne le secteur, et combien la quantification du risque est compliquée”, écrivent Caroline Hillairet et Olivier Lopez, chercheurs de la Fondation du Risque dans le cadre du projet “Cyber-risk: actuarial modeling” soutenu par le fonds de recherche d’AXA. 

La modélisation du risque cyber est notamment complexe car ce dernier appartient à la fois à la catégorie des risques extrêmes, “caractérisés par une très forte volatilité du coût de chaque événement”, ainsi qu’à celle des risques systémiques. Comme pour le risque de pandémie, le risque cyber “peut entraîner des contagions et des défaillances massives pouvant mettre à l’arrêt une économie, ou a minima mettre en danger la solvabilité d’un assureur”, décrivent les chercheurs. Une fois un acteur touché, les entreprises prestataires et clientes peuvent également être affectées, notamment avec l’internationalisation des entreprises et la fragmentation des chaînes de valeur.

Pourtant aujourd’hui, ce n’est pas tant une question de modélisation que de disponibilité des données, confie à mind Fintech Caroline Hillairet. Des modèles de quantification ont été élaborés mais ils ont besoin d’être éprouvés face à un historique de données de sinistres. Les deux chercheurs déplorent le manque de circulation de l’information entre les acteurs de l’écosystème qui empêche la construction d’une base de données à l’échelle nationale pour confronter les modèles.

  • Le cercle vicieux de l’assurance du paiement des rançons

Le “rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent”, définit l’ANSSI dans son rapport État de la menace rançongiciel paru en février 2020. Les cyberattaquants exigent d’être payés une certaine somme, la plupart du temps en cryptoactifs, en promettant de rendre les fichiers, de donner une clé de déchiffrement ou de ne pas diffuser les données. Parfois couplé à d’autres formes d’attaques, le rançongiciel a connu une notoriété sans précédent depuis le début de la crise sanitaire concernant la réponse à y apporter.

Si pour l’entreprise, le paiement de la rançon est une option alléchante, que ce soit en termes de temps ou de coût, il est déconseillé de payer, et encore moins d’assurer son paiement. Tout d’abord car l’expérience a montré que, le paiement reçu, les cyberattaquants ne rendent pas forcément l’accès aux contenus des fichiers ou peuvent tout de même les divulguer. “Ensuite, la violation de la confidentialité des données a déjà eu lieu, l’entreprise devra dans tous les cas se conformer à la réglementation en termes de protection des données”, selon une publication de Willis Towers Watson.

À un niveau plus macro, le paiement de la rançon, ainsi que sa couverture inconditionnelle, sont également déconseillés, que ce soit par le Parquet de Paris ou l’ANSSI. L’assurance de ce risque cyber “ne doit pas être interdite car cela peut être la solution. Mais ce ne doit pas être systématique […] sinon, nous allons vers un système où ce sont ceux qui se sont fait assurer qui se feront attaquer”, explique le directeur général de l’ANSSI Guillaume Poupard. En effet, le dispositif financier peut devenir un cercle vicieux : assurées contre le risque, les entreprises peuvent être plus enclines à payer, sachant qu’elles seront remboursées, garantissant ainsi la pérennité des groupes de cybercriminels, voire les encourager à poursuivre leurs actions si elles sont suffisamment lucratives.

Bien que la pratique ne soit donc pas interdite (ni en France ni dans la plupart des pays), plusieurs assureurs se sont repositionnés sur la question. AXA France a suspendu la garantie facultative de remboursement des entreprises victimes de ransomwares en mai 2021. Generali a également revu son offre en février 2022.

  • L’assurance cyber des particuliers encore peu développée

La crise sanitaire a beaucoup mis en avant les cyberattaques subies par les hôpitaux, collectivités territoriales et entreprises. Pourtant, le risque cyber touche également les particuliers. Selon le CEO de Moonshot Insurance Thibault Durand, il y a deux types de cybermalveillance à l’égard des individus : “les actes de cybercriminalité dont les pirates sont à l’origine (usurpation d’identité, phishing, virus…) et le cyberharcèlement, dont les particuliers sont à l’origine. Les premiers ont un but pécuniaire tandis que le second résulte de l’usage des réseaux sociaux avec l’intention de colporter de mauvaises informations ou de nuire à quelqu’un”.

Comme pour le risque chez les entreprises, les particuliers attendent d’abord de la prévention de l’offre d’assurance cyber. Selon une étude de Moonshot Insurance menée par Vertone, un sondé sur deux aimerait recevoir une “notification en temps réel en cas de détection de menace informatique”, 45 % souhaiteraient avoir des “solutions de protection du matériel informatique et des données (antivirus, sauvegardes automatiques…)” au sein de l’offre d’assurance. Vient ensuite l’assistance (technique puis juridique) pour un sondé sur trois. Selon l’étude, les indemnisations financières sont relativement moins attendues.

Les chiffres clés

  • Nombre de cyberattaques

Si l’assurance cyber est mise sur le devant de la scène, c’est principalement en raison de l’augmentation des cyberattaques. À l’occasion de son bilan de l’année 2020, l’ANSSI a noté “une croissance des rançongiciels avec un nombre d’incidents qui a explosé entre 2019 et 2020 en passant de 54 à 192”, a détaillé Mathieu Feuillet, sous-directeur des opérations de l’ANSSI. En 2021, le nombre stagne (203). L’organisation dénombre aussi 759 incidents déclarés durant la première année de crise sanitaire, soit autant qu’en 2018 et 2019 cumulés.

  • Taille du marché

D’après le cabinet d’étude MarketsandMarkets, le marché de l’assurance cyber a collecté 7,8 milliards de dollars de primes en 2020 (dont 500 millions de dollars pour couvrir les particuliers). Selon ses prévisions, elles pourraient s’élever à 20,4 milliards de dollars en 2025 (dont 2,1 milliards de dollars pour les particuliers), avec un taux de croissance annuel de 21,2 % (+ 33 % pour l’assurance des particuliers).

Selon Thibault Durand, 70 % des primes sont captées par des assureurs étasuniens, contre 13 % pour les acteurs européens. En France, les primes dédiées au risque cyber représentaient 219 millions d’euros en 2021, selon France Assureurs (+52 % par rapport à 2020).

  • Paiement des rançons

L’assureur Hiscox, auditionné dans le cadre du rapport de la députée Valéria Faure-Muntian, estime ainsi qu’environ “65 % des sinistrés en France admettent avoir payé une rançon”. Au niveau monde, le HCJP estime que 58 % des entreprises soumises à une rançon la paient.

  • Ratio de sinistralité

La hausse du nombre de cyberattaques a eu un impact direct sur l’équilibre de l’activité des assureurs. Entre 2019 et 2020, alors que les primes perçues pour couvrir le risque cyber ont augmenté de moitié (de 87 à 130 millions d’euros), le coût des sinistres a lui triplé, passant de 73 à 217 millions d’euros, selon le rapport “LUmières sur la CYberassurance” (LUCY) publié par l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) en mai 2021. Conséquence de ces hausses asymétriques, “le ratio sinistres sur primes (S/P) est passé de 84 % en 2019 à 167 % en 2020, soit une multiplication par 2 d’une année sur l’autre”, décrit la députée Valéria.

Alors qu’en 2019, les ETI tiraient le ratio de sinistralité vers le haut, en 2020, ce sont les grandes entreprises qui le font s’envoler. “Quatre sinistres d’intensité XXL (5,5% des 90 sinistres enregistrés [indemnisés entre 10 et 40 millions d’euros chacun, ndlr]) ont représenté à eux seuls 78% du volume global d’indemnisations versées”, souligne le rapport LUCY.

  • Faible couverture des entreprises

Selon le rapport de l’AMRAE, si les grandes entreprises se couvrent majoritairement contre le risque cyber (87 %, +22,2 % par rapport à 2019), ce n’est pas le cas des ETI et PME qui étaient respectivement 8 % (+43,6 %) et 0,0026 % (+16,3 %) à se protéger en 2020. “Ce manque de mutualisation entre les assurés a pour conséquence le déséquilibre” du ratio de sinistralité, estime la députée de la Loire.

Pour aller plus loin
Les Articles à lire