Les Assises 2022 : Pleins feux sur la Cyber assurance !
octobre 2022 par Valentin Jangwa, Global Security Mag
Lors de l’édition 2022 des Assises de la Cybersécurité, la lumière a été une nouvelle fois mise sur la Cyber assurance, en s’interrogeant sur les alternatives qu’auraient les entreprises si elles ne souscrivaient pas aux contrats proposés.
Autour de cette table ronde qui avait pour Modératrice Florence Puybareau, Directrice des contenus et de la Communication DG Consultants, se trouvaient, Anne Cridlig, Head of Professional Indemnity & Cyber Department Financial Lines Zurich Insurance, Philippe Cotelle, Administrateur de l’AMRAE (l’Association pour le Management des Risques et des Assurances de l’Entreprise), Sébastien Heon, Cyber Solutions Deputy Chief Underwritting Officer Scor, et Gilles Berthelot, Directeur sécurité numérique groupe SNCF.
En propos liminaire, Florence Puybareau rappelle que cela fait plusieurs années qu’une table ronde est consacrée à la Cyber assurance, mais qu’au vu des récents évènements et des prises de positions diverses, le Comité de Pilotage des Assises a décidé d’organiser une nouvelle table ronde sur ce sujet.
Elle ajoute qu’en effet, il y a eu et il y a de plus en plus d’attaques cyber, notamment de ransomwares, et que les RSSI ont fait part de leurs difficultés et de leurs craintes.
Le sujet de la Cyber assurance étant donc plus que jamais d’actualité, le but de cette table ronde était d’explorer les réponses des assureurs et réassureurs, et d’avoir quelques idées sur comment travaillent les RSSI et les Risk Managers ou Directeurs d’Assurances, pour trouver des solutions par rapport aux risques cyber.
LUCY 2 : une analyse de l’évolution du marché de l’assurance cyber
Philippe Cotelle a analysé l’étude LUCY 2 (Lumière sur la Cyber assurance) parue en juin 2022. L’objectif de l’étude est de pouvoir donner une meilleure référence sur l’évolution du marché, des primes et des sinistres, dans un contexte d’une économie devenue de plus en plus numérique avec l’accroissement de l’exposition des entreprises aux risques cyber, et ce à long terme. Il a pris l’exemple de la cyberattaque qui avait touché la société Merck et dont le sinistre a été évalué à 1,4 milliard de dollars, ce qui montre que la façon de financer le risque cyber est essentielle pour les entreprises. Financer le risque, c’est l’assurer.
En 2020, l’étude LUCY a montré que les assureurs ont perdu beaucoup d’argent en France sur l’assurance cyber avec un ratio sinistres sur primes de 167%, ce qui veut dire qu’ils ont payé 1,67 fois plus de sinistres qu’ils n’ont reçu de primes. 4 sinistres à eux seuls en 2020, ont suffi pour éponger l’ensemble de la prime du marché Français.
En 2021, L’étude LUCY a montré une augmentation du volume des primes de près de 40%.
En moyenne, pour les entreprises de plus d’1,5 milliard, le taux de primes d’assurances a doublé et les franchises ont été multipliées par 10 avec une moyenne à 4 millions. Le montant assuré a baissé en moyenne de 25% pour tomber à 30 millions.
Concernant les ETI (Entreprises de taille intermédiaire), le phénomène est différent, car en 2021, beaucoup ont acheté de l’assurance cyber, et la hausse des primes a été moins importante, avec une amélioration forte de la sinistralité assurée. En revanche, une multiplication par 5 du montant des sinistres, avec un ratio sinistre sur primes de 250%, ce qui veut dire que les assureurs ont payé 2,5 fois plus de sinistres qu’ils n’ont touché de primes.
En conclusion, il est à craindre qu’en 2022, les exigences d’assurabilité soient aussi fortes pour les ETI que ce qu’on a vécu pour les grandes entreprises en 2021.
La cyber trop risquée pour le secteur de la réassurance
Du côté, réassureur, Sébastien Heon de Scor, « celui qui permet à l’assureur d’assurer » dixit Florence Puybareau, rappelle que le réassureur a pour clients les assureurs, ce qui veut dire qu’en échange d’une partie de la prime que ces dernières touchent sur une ligne de business comme la cyber, le réassureur paye une partie des sinistres. On apporte du capital aux assureurs pour qu’ils puissent alimenter leurs souscriptions, souscrire de nouveaux contrats, et pour qu’ils aient les capacités financières d’honorer les contrats. On apporte de la fluidité au marché de l’assurance.
La réassurance est fondée sur les catastrophes naturelles, c’est ainsi qu’elle est née. Elle fonctionne parce qu’il y a une mutualisation géographique du risque. Le réassureur va mettre en place sa capacité financière de manière diversifiée géographiquement, en pariant sur le fait qu’il n’y aura pas par an des catastrophes naturelles dans tous les pays du monde en même temps, du moins avant la réalité des changements climatiques.
Le problème dans la cyber, c’est qu’il n’y a pas de diversification géographique possible pour le risque cyber, car une attaque cyber comme il y en a eu en Ukraine, peut toucher en même temps les États-Unis (le cas de Merck) et d’autres endroits du monde. Les catastrophes naturelles arrivent aussi selon les saisons, mais pas de saisonnalité pour les attaques cyber.
Le fait de ne pas pouvoir diversifier le risque cyber, ni géographiquement, ni dans le temps, a une conséquente très importante, qui est que pour un réassureur, le risque cyber consomme beaucoup de capital, du fait de la mobilisation d’une grosse part, car pas diversifiable ni de manière géographique, ni temporellement. Donc cela coûte très cher.
Un autre élément à souligner est que les réassureurs eux-mêmes ont aussi des réassureurs qui s’appellent des rétrocessionnaires. Et en matière de cyber, cette branche est peu développée car en général fondée par les marchés financiers qui amènent du capital, mais ils ont peu d’appétit pour la cyber car ils craignent le risque cyber et ne comprennent pas trop comment ça marche. Ils ne savent pas si ce sont des risques courts ou longs.
Et enfin, la réassurance est une profession très régulée avec des normes qui indiquent la limite des capitaux qu’on peut engager pour un risque donné.
Il termine en affirmant que les réassureurs ont aujourd’hui atteint le maximum de capital qu’ils peuvent allouer au risque cyber.
Le risque cyber doit-il être couvert si oui comment ?...
Florence Puybareau en profite pour esquisser qu’il faut en conclure que la responsabilité de cette situation tendue serait donc la faute du régulateur et qu’il faudrait l’inviter pour la table ronde de 2023.
Elle cède la parole à Gilles Berthelot, en lui signifiant que la SNCF représenterait donc ici les entreprises qui seraient les victimes de cette situation, mais Gilles répond avec humour « plutôt les vaches à lait ».
Gilles Berthelot explique que la SNCF et d’autres entreprises, ont l’impression de payer toujours plus en étant moins couvertes, avec une certaine frustration. Les primes augmentent, les franchises aussi, et la couverture maximale baisse.
Anne Cridlig, qui représente l’assureur, explique que 2020 et 2021 ont été deux années horribles pendant lesquelles les attaques par ransomwares se sont multipliées, ce qui a coûté très cher à la fois en termes d’intensité et en nombre, et que cela fait partie des défis à relever sur un marché de l’assurance qui n’a que dix ans en France. On n’est pas sur un marché aussi mature que celui de l’assurance pour la responsabilité civile, ou pour les incendies et les dommages aux biens. Et qu’enfin, le contexte géopolitique de menaces potentielles, n’aide pas à être serein face à ce risque cyber, avec le risque lié à l’interconnexion sur Internet qui peut amener plusieurs clients à être atteints en même temps par des attaques. Le coût de la réassurance ne va donc pas en s’arrangeant.
Tous ces constats ont amené Florence Puybareau à poser la question des solutions alternatives au modèle de la cyber assurance tel qu’il est pratiqué à ce jour.
Anne Cridlig propose des discussions régulières entre l’assureur et les entreprises (Risk Manager, RSSI, Courtier, Directeur des Assurances) afin d’évaluer ensemble les risques identifiés, de comprendre le contexte, et ensuite proposer des solutions adéquates.
Sébastien Heon propose de réfléchir à la question de savoir si l’entreprise doit couvrir en même temps le risque quotidien, et celui qui peut être considéré comme une catastrophe, en suivant le modèle des risques incendie ou des dommages aux biens.
Gilles Berthelot évoque les réflexions en cours sur la captive (une compagnie d’assurance ou de réassurance appartenant à une société ou à un groupement dont l’activité commerciale n’est pas l’assurance).
Philippe Cotelle, fait appel à un besoin de réfléchir sur les possibilités de mutualisation de l’assurance cyber entre plusieurs entreprises.
La question finale a été de se demander si à l’avenir l’assureur ne pourrait pas se retourner en justice contre les éditeurs de logiciels.
Pour aller plus loin vous pouvez revoir l’intégralité de cette table ronde sur la chaîne YouTube des Assises.
Articles connexes:
- Vladimir Kolla, Founder de Patrowl : il est essentiel de simplifier la cybersécurité pour les RSSI
- Maxime Alay-Eddine, Cyberwatch : La pertinence de l’offre française devait inciter les RSSI à étudier de près les solutions du groupement Hexatrust
- Christian d’Orival, CryptoNext Security : La migration post quantique est en marche
- Lionel Doumeng, WithSecure : Nous avons changé de nom pour créer les solutions adaptées à la co-sécurité
- Pierre-Yves Hentzen, CEO de Stormshield : nous nous tenons auprès des RSSI pour les aider à protéger les les biens comme les personnes lorsqu’il s’agit de risques industriels
- Olivier Tireau, SentinelOne : Les technologies sont essentielles mais la cybersécurité, c’est avant tout un sport d’équipe !
- David Grout, Mandiant : Le challenge le plus important pour les RSSI reste de démontrer le bien-fondé des investissements
- Benjamin Leroux, Advens : Nous devons unir nos forces et nos talents pour renverser le rapport de force entre attaquants et défenseurs
- Giuseppe Brizio, Qualys Technologies SA : L’approche de la cybersécurité doit être basée sur l’analyse des risques et les impacts en cas de cyberattaques réussies
- Thomas Manierre, BeyondTrust : Nous pouvons travailler conjointement avec les RSSI et les équipes concernées
- Gerald Delplace, Imperva : Le défi pour les entreprises sera d’obtenir une véritable visibilité et un contrôle de leurs données dans différents environnements
- Bertrand De Labrouhe, Gigamon : face aux menaces, la visibilité est un des leviers principaux de l’atténuation du risque de ransomware
- Jean-Michel Tavernier, ARMIS : les entreprises ont besoin de connaitre l’ensemble de leur réseau
- Rémi Habraken, SYNETIS : Quand on construit sa feuille de route sécurité, il faut conserver un équilibre Technologie - People - Process
- Théodore-Michel Vrangos, I-TRACING : Notre objectif est de délivrer une sécurité avant tout opérationnelle
- Christian Guyon, Forcepoint : Le SASE est dans toutes les têtes et toutes les communications
- Laurent Tombois, Bitdefender : les entreprises doivent adopter des capacités de détection et de réponse
- Julian Gouez, HelpSystems : Les entreprises ont besoin d’une protection complète contre un large éventail de menaces
- Fatima Mesdour, Pentera : Les RSSI doivent « Révolutionner le processus de tests en cybersécurité »
- Olivier Spielmann Kudelski Security : la SSI est un travail d’équipe de confiance
- Alexandre Souillé, Président d’Olfeo : Nous souhaitons redonner de la sérénité aux DSI et RSSI dont l’anxiété s’accroît face à la menace omniprésente
- Nicolas Arpagian, Trend Micro : l’amélioration du pilotage de la SSI permet d’améliorer la conformité
- Clément Longépé, Make IT Safe : La cybersécurité et la conformité constituent de réels enjeux business
- Lucie Loos, Nameshield : Il est crucial de rappeler que le nom de domaine est la porte d’entrée sur le web
- Ghaleb Zekri, VMware France : le bien-être des salariés est une priorité que les RSSI devront prendre en considération
- Benoit Grunemwald, ESET : La connaissance de la menace et des acteurs malveillants est cruciale dans l’établissement de sa stratégie de défense et d’investissement
- Olivier Mélis, Checkmarx : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle
- Hervé Liotaud, SailPoint : Les programmes d’identités doivent être considérés comme un projet pleinement sécuritaire
- Arnaud Le Hung, BlackBerry : Les entreprises de sécuriser aussi les appareils considérées comme étant « hors de leur portée immédiate »
- Bernard Debauche, Systancia : La cybersécurité est une affaire globale de la gouvernance, aux risques, jusqu’aux les processus et outils
- Loïc Guézo, Proofpoint : La communication entre les RSSI et le conseil d’administration doit être plus que jamais mise en avant
- Jérôme Notin, www.cybermalveilance.fr : N’hésitez pas à faire parler de www.cybermalveillance.fr autour de vous, dans votre entourage tant professionnel que personnel !
- Daniel Benabou et Daniel Rezlan IDECSI : Notre promesse est de fournir une offre globale sur la sécurité des données
- Jean-Pierre Barré, WALLIX : Aujourd’hui, le PAM n’est pas un luxe, ou une option, c’est un prérequis
- Boris Lecoeur, Cloudflare : Nous souhaitons fournir aux RSSI une solution de cybersécurité tellement simple à implémenter et efficace face aux menaces, qu’elle s’en fait oublier
- Grégory Mauguin, SysDream : L’essence même de la SSI consiste à faire reposer la stratégie cyber sur une analyse de risques
- Dagobert Levy, TANIUM : Les RSSI doivent passer de l’image du blocker à celui d’enabler !
- Eric Fries, Allentis : Devant la complexité des menaces, les RSSI doivent gérer leurs priorités dans le bon ordre
- Olivier Morel, Inetum Software– Cybersecurity Solutions : Nous constatons une prise de conscience de la nécessité de protéger les identités et les accès sur le terrain
- Bernard Montel, Tenable : les entreprises doivent avoir une approche proactive, une hygiène cyber pour réduire le risque
- Nicolas Groh, Rubrik : le stockage est devenu le point central de l’entreprise et fédère les différentes fonctions de l’entreprise
- Frédéric Grelot, GLIMPS : Nous proposons une « eXtended Malware Analysis Platform » pour accompagner les RSSI dans leur stratégie de rationalisation des produits de cybersécurité
- Thiébaut Meyer, Google Cloud : Ne considérez le cloud public comme un risque mais comme une véritable opportunité pour la stratégie de cybersécurité
- Sumedh Thakar President et CEO de Qualys : Nous aidons les organisations à gérer les risques cyber, grâce à une plateforme unifiée qui permet de les mesurer, prioriser, et les contrer
- Xavier Mathis, Okta France : les RSSI doivent poursuivre leurs efforts de sensibilisation des COMEX aux problématiques de sécurité