De l’urgence de s’équiper en assurance Cyber


Introduction :

L’assurance a toujours accompagné l’émergence des nouveaux risques :

-le grand incendie de Londres en 1666 amène à la création 2 ans plus tard du « Fire Office »

-en 1685, Edward Lloyd’s accompagne le développement du commerce maritime

-au XIXème siècle, l’accumulation de capitaux dans les villes et les usines entraîne des sinistres spectaculaires, qui contribuent à mettre en place nos compagnies modernes.

En même temps, les compagnies sont toujours réticentes à créer de « nouveaux produits ». En effet :

-le prix de l’assurance (la prime) doit être fixée dès le lancement du produit.

-sa rentabilité est par contre déterminée par la sinistralité (fréquence et gravité) qui ne sera connue que plus tard.

-par un phénomène d’anti-sélection, les premiers intéressés (early adopters) sont en réalité les plus exposés au risque, alors que le prix de l’assurance est conçu pour la moyenne…

D’où la tendance des assureurs à ne fonctionner que par petites touches, et adaptations de produits existants.

1 La réalité du risque cyber :

Une PME a aujourd’hui bien plus de chances d’être affectée par un sinistre de type cyber (virus, intrusion, ransomware,..) que par un sinistre classique (incendie, dégât des eaux, vol,..).

Au Royaume Uni, la proportion est de 20 contre 1 : le risque cyber sera expérimenté par 30% des entreprises, le risque incendie+vol par 2%.

Et pourtant, l’entreprise est en général assurée pour le risque classique et rarement pour le risque cyber !

L’assureur Hiscox indiquait qu’en 2019, les pertes associées à des contrats cyber s’étaient élevées à 1,9 miards USD en progression de 50%.

La perte moyenne pour un risque cyber est de 50 000 € (source Hiscox).

Les assureurs parlent aussi de « risques silencieux » (quand un sinistre apparemment classique : un incendie, un déraillement, .., indemnisé par la police d’assurance IARD classique de l’entreprise, a en réalité été généré par une attaque cyber).

L’accélération des incidents devrait nous faire réfléchir :

-en aout 2019, 120 cliniques du groupe Ramsay sont paralysées par un virus

-en janvier 2021, la ville d’Angers compte 300 postes informatiques paralysés par une cyber attaque

-le 19 mars 2021, l’incendie d’un datacenter OVH anéantit 3,6 millions de sites Internet.

La nature des risques cyber :

On classe le plus souvent les dangers cyber en 3 catégories :

  1. Les malwares :

Il s’agit de petits programmes pouvant occasionner des dysfonctionnements ou des pertes ou transferts de données

  • Les ransomwares :

Il s’agit de programmes ou processus conduisant à un chantage divulgation de données/rançon.

Récemment l’entreprise Garmin a payé 10 millions USD (et de nombreuses victimes se taisent).

En France, 18% des entreprises visées cèdent et payent une rançon.

  • Le hacking :

Il s’agit de toutes les techniques d’intrusions dans l’entreprise.

3 Nature et contenu des polices Cyber :

Ces polices ont en réalité un double visage :

-un visage de police RC (Responsabilité Civile) : la police protège son titulaire contre les graves dommages qu’un incident cyber va générer à l’extérieur (après des clients ou de simples tiers).

L’exemple récent des cliniques de l’Ouest de la France qui ont divulgué les données personnelles de près de 500 000 patients en relève.

-un visage de police Dommages : la police protège l’entreprise contre par exemple la perte ou destruction de données de l’entreprise perpétrée par le pirate.

Ces polices offrent des services annexes :

-prévention, audit initial

-accompagnement de situations de crise

-reconstitution de données

4 L’insouciance des entreprises :

Non assurées pour le risque cyber, les PME sont souvent, en cas d’incident, piégées par leurs insuffisances :

-pas de sauvegarde des données

-pas de plan de crise

-pas d’assurance

Même les PME qui ont fait face à une sérieuse alerte ont tendance à minimiser, et à prétendre qu’elles ont « pris les mesures ».

5 Souscrire une police Cyber, pas si facile :

Quand elles commencent à s’en préoccuper, nos « cigales » ont parfois du mal à trouver une police Cyber :

L’assureur va s’assurer du respect d’un certain nombre de bonnes pratiques :

-gouvernance

-assurance des sous-traitants

-mots de passe (notamment autorisation à plusieurs facteurs/MFA)

-stockage

-mises à jour

-dispositifs de sécurité (VPN, firewall, antivirus, ..)

-test de pénétration

Ce faisant, l’assurance va jouer le rôle d’un aiguillon , exigeant parfois la mise sur pied immédiate de nouvelles procédures.

La souscription va nécessiter une vraie collaboration entre services de l’entreprise (notamment DSI et DAF).

6 Risque Cyber et risque Fraude :

Les entreprises ont tendance à confondre les 2 :

-le risque Cyber fait référence aux dysfonctionnements et pertes de revenus obtenus par un canal informatique (ex : une attaque massive en déni de service)

-le risque Fraude fait allusion à des désorganisations et pertes financières suite à des manœuvres, informatiques ou non. La fraude peut s’exercer par le moyen d’un simple téléphone (cas de la « fraude au président »).

Il faut idéalement se garder sur les 2 versants (cyber et fraude), même si peu de compagnies offrent cette double garantie, double garantie assez onéreuse.

7 Conclusion : Etre vigilant pour l’avenir :

L’assurance cyber n’est pas un luxe :

-le risque croit de manière vertigineuse

-les conditions de souscription (et les prix) se durcissent 

-les financeurs commencent à les exiger

-on les voit apparaitre comme des conditions contractuelles (à côté de l’assurance RC) dans par exemple des contrat Hôpital/CRO/Sponsor.

L’assurance cyber va devenir un must, tout comme dans le passé :

            -l’équipement informatique en lui-même

            -l’achat de licences informatiques

            -la conclusion de contrats de maintenance informatique

            -la gestion des accès à distance

            -la bonne gestion des appareils mobiles

Le marché de la cybersécurité (assurance, prévention,..) a représenté 100 miards USD en 2019 et pourrait en représenter 150  en 2023.

Les risques sont si grands que tous y sont exposés, PME comme géants :

Le 17 juillet 2020, l’assureur MMA a été victime d’un ransomware de grande ampleur.
Une semaine après, les écrans et serveurs étaient encore pour la plupart bloqués. Le retour à la normale peut prendre dans ce genre de cas des semaines ou des mois.

MMA, Manutan, Lactalys, Microsoft lui-même : la liste est longue. Voulez-vous y figurer ?