A ce jour, compte tenu de l’hyperselectivité des risques par les assureurs, la majeure partie des entreprises françaises ne peut pas prétendre à une couverture d’assurance pour se protéger contre les conséquences financières d’une attaque cyber, soit en raison de leur secteur d’activité trop sinistré ou de leur niveau de sécurité jugé insuffisant par les assureurs. En effet certaines entreprises n’ont pas de politique Cyber sécurité robuste et n’appliquent pas encore les bonnes pratiques. Cette situation crée plusieurs problématiques :
Le contexte est paradoxal car le développement et l’implémentation d’un projet IT peut prendre plusieurs mois voire plusieurs années. Pendant ce temps, de nouvelles menaces peuvent apparaître et rendre les solutions actuelles obsolètes, augmentant de ce fait les pré requis ou standards exigés par les assureurs.
La viabilité du marché de l’assurance cyber est immuablement liée à une meilleure gestion des risques des clients et à une flexibilité des assureurs dans les couvertures qu’ils proposent. La sinistralité devrait s’inscrire dans la durée au cours des prochaines années. Les entreprises n’ayant pas le niveau nécessaire pour se couvrir devront s’autofinancer au moment de la survenance des sinistres et avant tout investir dans un plan de cyber sécurité.
A ce stade, le marché de l’assurance cyber est loin d’être dimensionné pour répondre à une attaque globale ayant des conséquences sur l’ensemble de l’économie. Selon plusieurs rapports d’entreprises spécialisées en cyber sécurité, les dommages liés à la cyber criminalité représenteront entre 1000 et 6000 milliards $ fin 2021 pendant que les primes collectées par le secteur de l’assurance au niveau mondial ne représentent qu’environ 10 milliards $. Bien qu’assez simpliste de faire une corrélation entre ces deux chiffres, il y a de fait un déséquilibre financier. En 2017, Wannacry et Notpetya ont commencé à mettre en lumière le caractère systémique du risque cyber. Les derniers évènements comme Solarwinds ou l’attaque subie par Coloniale Pipeline ont confirmé qu’une attaque cyber peut entrainer des effets domino à l’échelle d’une nation et même au-delà. Les pertes peuvent être considérables et affecter l’ensemble de l’économie.
Ainsi, l’Etat est appelé à la rescousse pour penser à un nouveau modèle de mutualisation s’appuyant sur un partenariat public-privé, et ce dans la mesure où les assureurs pourraient ne pas être en mesure de faire face à leurs engagements. Conscient de ces enjeux, la Direction du Trésor a entamé une consultation auprès des différentes parties prenantes du secteur afin de réaliser une étude qui permettra de rendre des conclusions sur la couverture du risque cyber. Les assureurs cyber sont dépassés et ont des difficultés à anticiper la menace cyber. Ils subissent la sinistralité et adaptent leur politique en fonction des modes opératoires des attaquants. Le ransomware est l’exemple que le marché n’est pas prêt pour absorber l’entièreté des conséquences financières de la cyber criminalité. De ce fait, il est primordial de penser à des solutions alternatives financières pour accompagner le marché de l’assurance comme la titrisation qui est une première piste de réflexion. Avant cela, le recours aux captives d’assurance ou de réassurance est un outil qui est de plus en plus considéré pour poser les bases d’un programme d’assurance et faire ensuite intervenir les assureurs au-delà de l’intervention de la captive, ou bien pour pallier l’absence d’assureur à certains niveaux d’un programme d’assurance Cyber.
La stratégie actuelle d’augmenter constamment les primes sur les polices d’assurances souscrites par les grandes entreprises est une solution à court terme et ne permettra pas la pérennité de ce marché. Pour cela, il faudrait intensifier et diversifier les circuits de distribution en développant des partenariats entre experts en cyber sécurité, assureurs et courtiers. L’assurance cyber peut se distribuer par des canaux traditionnels ou développer des circuits innovants et alternatifs. Il faudra également compter sur l’émergence des cyber insurtech qui apportent des modèles multicanaux, pragmatiques et simples à la souscription.
La dégradation de l’offre du fait de la sinistralité accrue a remis en question le caractère assurable de la menace cyber et la capacité des assureurs à faire face à cette dernière. A la question de savoir si les risques cyber sont assurables, la réponse ne fait aucun doute : Oui, si et seulement si assureurs, courtiers et assurés ont bien conscience des enjeux et travaillent ensemble à s’inscrire dans un cercle vertueux.