Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les Assises 2022 : Pleins feux sur la Cyber assurance !

octobre 2022 par Valentin Jangwa, Global Security Mag

Lors de l’édition 2022 des Assises de la Cybersécurité, la lumière a été une nouvelle fois mise sur la Cyber assurance, en s’interrogeant sur les alternatives qu’auraient les entreprises si elles ne souscrivaient pas aux contrats proposés.

Autour de cette table ronde qui avait pour Modératrice Florence Puybareau, Directrice des contenus et de la Communication DG Consultants, se trouvaient, Anne Cridlig, Head of Professional Indemnity & Cyber Department Financial Lines Zurich Insurance, Philippe Cotelle, Administrateur de l’AMRAE (l’Association pour le Management des Risques et des Assurances de l’Entreprise), Sébastien Heon, Cyber Solutions Deputy Chief Underwritting Officer Scor, et Gilles Berthelot, Directeur sécurité numérique groupe SNCF.

En propos liminaire, Florence Puybareau rappelle que cela fait plusieurs années qu’une table ronde est consacrée à la Cyber assurance, mais qu’au vu des récents évènements et des prises de positions diverses, le Comité de Pilotage des Assises a décidé d’organiser une nouvelle table ronde sur ce sujet.
Elle ajoute qu’en effet, il y a eu et il y a de plus en plus d’attaques cyber, notamment de ransomwares, et que les RSSI ont fait part de leurs difficultés et de leurs craintes.
Le sujet de la Cyber assurance étant donc plus que jamais d’actualité, le but de cette table ronde était d’explorer les réponses des assureurs et réassureurs, et d’avoir quelques idées sur comment travaillent les RSSI et les Risk Managers ou Directeurs d’Assurances, pour trouver des solutions par rapport aux risques cyber.

LUCY 2 : une analyse de l’évolution du marché de l’assurance cyber

Philippe Cotelle a analysé l’étude LUCY 2 (Lumière sur la Cyber assurance) parue en juin 2022. L’objectif de l’étude est de pouvoir donner une meilleure référence sur l’évolution du marché, des primes et des sinistres, dans un contexte d’une économie devenue de plus en plus numérique avec l’accroissement de l’exposition des entreprises aux risques cyber, et ce à long terme. Il a pris l’exemple de la cyberattaque qui avait touché la société Merck et dont le sinistre a été évalué à 1,4 milliard de dollars, ce qui montre que la façon de financer le risque cyber est essentielle pour les entreprises. Financer le risque, c’est l’assurer.
En 2020, l’étude LUCY a montré que les assureurs ont perdu beaucoup d’argent en France sur l’assurance cyber avec un ratio sinistres sur primes de 167%, ce qui veut dire qu’ils ont payé 1,67 fois plus de sinistres qu’ils n’ont reçu de primes. 4 sinistres à eux seuls en 2020, ont suffi pour éponger l’ensemble de la prime du marché Français.
En 2021, L’étude LUCY a montré une augmentation du volume des primes de près de 40%.
En moyenne, pour les entreprises de plus d’1,5 milliard, le taux de primes d’assurances a doublé et les franchises ont été multipliées par 10 avec une moyenne à 4 millions. Le montant assuré a baissé en moyenne de 25% pour tomber à 30 millions.
Concernant les ETI (Entreprises de taille intermédiaire), le phénomène est différent, car en 2021, beaucoup ont acheté de l’assurance cyber, et la hausse des primes a été moins importante, avec une amélioration forte de la sinistralité assurée. En revanche, une multiplication par 5 du montant des sinistres, avec un ratio sinistre sur primes de 250%, ce qui veut dire que les assureurs ont payé 2,5 fois plus de sinistres qu’ils n’ont touché de primes.
En conclusion, il est à craindre qu’en 2022, les exigences d’assurabilité soient aussi fortes pour les ETI que ce qu’on a vécu pour les grandes entreprises en 2021.

La cyber trop risquée pour le secteur de la réassurance

Du côté, réassureur, Sébastien Heon de Scor, « celui qui permet à l’assureur d’assurer » dixit Florence Puybareau, rappelle que le réassureur a pour clients les assureurs, ce qui veut dire qu’en échange d’une partie de la prime que ces dernières touchent sur une ligne de business comme la cyber, le réassureur paye une partie des sinistres. On apporte du capital aux assureurs pour qu’ils puissent alimenter leurs souscriptions, souscrire de nouveaux contrats, et pour qu’ils aient les capacités financières d’honorer les contrats. On apporte de la fluidité au marché de l’assurance.
La réassurance est fondée sur les catastrophes naturelles, c’est ainsi qu’elle est née. Elle fonctionne parce qu’il y a une mutualisation géographique du risque. Le réassureur va mettre en place sa capacité financière de manière diversifiée géographiquement, en pariant sur le fait qu’il n’y aura pas par an des catastrophes naturelles dans tous les pays du monde en même temps, du moins avant la réalité des changements climatiques.
Le problème dans la cyber, c’est qu’il n’y a pas de diversification géographique possible pour le risque cyber, car une attaque cyber comme il y en a eu en Ukraine, peut toucher en même temps les États-Unis (le cas de Merck) et d’autres endroits du monde. Les catastrophes naturelles arrivent aussi selon les saisons, mais pas de saisonnalité pour les attaques cyber.
Le fait de ne pas pouvoir diversifier le risque cyber, ni géographiquement, ni dans le temps, a une conséquente très importante, qui est que pour un réassureur, le risque cyber consomme beaucoup de capital, du fait de la mobilisation d’une grosse part, car pas diversifiable ni de manière géographique, ni temporellement. Donc cela coûte très cher.
Un autre élément à souligner est que les réassureurs eux-mêmes ont aussi des réassureurs qui s’appellent des rétrocessionnaires. Et en matière de cyber, cette branche est peu développée car en général fondée par les marchés financiers qui amènent du capital, mais ils ont peu d’appétit pour la cyber car ils craignent le risque cyber et ne comprennent pas trop comment ça marche. Ils ne savent pas si ce sont des risques courts ou longs.
Et enfin, la réassurance est une profession très régulée avec des normes qui indiquent la limite des capitaux qu’on peut engager pour un risque donné.
Il termine en affirmant que les réassureurs ont aujourd’hui atteint le maximum de capital qu’ils peuvent allouer au risque cyber.

Le risque cyber doit-il être couvert si oui comment ?...

Florence Puybareau en profite pour esquisser qu’il faut en conclure que la responsabilité de cette situation tendue serait donc la faute du régulateur et qu’il faudrait l’inviter pour la table ronde de 2023.
Elle cède la parole à Gilles Berthelot, en lui signifiant que la SNCF représenterait donc ici les entreprises qui seraient les victimes de cette situation, mais Gilles répond avec humour « plutôt les vaches à lait ».
Gilles Berthelot explique que la SNCF et d’autres entreprises, ont l’impression de payer toujours plus en étant moins couvertes, avec une certaine frustration. Les primes augmentent, les franchises aussi, et la couverture maximale baisse.
Anne Cridlig, qui représente l’assureur, explique que 2020 et 2021 ont été deux années horribles pendant lesquelles les attaques par ransomwares se sont multipliées, ce qui a coûté très cher à la fois en termes d’intensité et en nombre, et que cela fait partie des défis à relever sur un marché de l’assurance qui n’a que dix ans en France. On n’est pas sur un marché aussi mature que celui de l’assurance pour la responsabilité civile, ou pour les incendies et les dommages aux biens. Et qu’enfin, le contexte géopolitique de menaces potentielles, n’aide pas à être serein face à ce risque cyber, avec le risque lié à l’interconnexion sur Internet qui peut amener plusieurs clients à être atteints en même temps par des attaques. Le coût de la réassurance ne va donc pas en s’arrangeant.
Tous ces constats ont amené Florence Puybareau à poser la question des solutions alternatives au modèle de la cyber assurance tel qu’il est pratiqué à ce jour.
Anne Cridlig propose des discussions régulières entre l’assureur et les entreprises (Risk Manager, RSSI, Courtier, Directeur des Assurances) afin d’évaluer ensemble les risques identifiés, de comprendre le contexte, et ensuite proposer des solutions adéquates.
Sébastien Heon propose de réfléchir à la question de savoir si l’entreprise doit couvrir en même temps le risque quotidien, et celui qui peut être considéré comme une catastrophe, en suivant le modèle des risques incendie ou des dommages aux biens.
Gilles Berthelot évoque les réflexions en cours sur la captive (une compagnie d’assurance ou de réassurance appartenant à une société ou à un groupement dont l’activité commerciale n’est pas l’assurance).
Philippe Cotelle, fait appel à un besoin de réfléchir sur les possibilités de mutualisation de l’assurance cyber entre plusieurs entreprises.
La question finale a été de se demander si à l’avenir l’assureur ne pourrait pas se retourner en justice contre les éditeurs de logiciels.

Pour aller plus loin vous pouvez revoir l’intégralité de cette table ronde sur la chaîne YouTube des Assises.

https://www.youtube.com/watch?v=DEMNlKf96DM


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants