« La prochaine pandémie sera cyber ! » voilà le leitmotiv de plusieurs experts, politiques, économistes, assureurs, réassureurs, etc. que l’on peut entendre depuis plusieurs mois tant la crise de la COVID-19 a contribué au développement de la cyber criminalité et à la multiplication des attaques cyber contre les sociétés. La crise sanitaire a permis d’accélérer la digitalisation des entreprises. Les cybers criminels en ont profité de manière lucrative pour mener des attaques contre celles qui ont mis en place des modes de travail hybrides en ouvrant leur système d’information. Avec un peu plus de recul comparé à mars 2020, 70%1 des entreprises françaises attribuent les cybers attaques aux vulnérabilités des technologies mises en place durant la pandémie. Au-delà de la crise sanitaire, la chronologie des dernières attaques a fait ressurgir le caractère systémique du risque cyber et l’importance de le prendre en considération dans la gestion de risque au sein des PME, ETI ou grandes entreprises.
Depuis plusieurs décennies, l’assurance a montré sa capacité à soutenir le système économique en apportant des solutions concrètes aux entreprises permettant d’être contributrice de valeur. Elle a par ailleurs su se réinventer et répondre à des problématiques précises en développant des mécanismes ou produits spécifiques afin de répondre à l’émergence de certains risques. Depuis plus de deux décennies, le marché de l’assurance s’est penché sur la couverture des risques cyber.
Longtemps considéré comme le produit « vedette » des assureurs, l’assurance cyber a été un relais de croissance pour bon nombre d’assureurs lorsqu’il était difficile de gagner des parts de marché sur les branches d’assurance traditionnelles. L’attractivité de ce nouveau marché qui naquit 10 ans plus tôt aux Etats Unis a séduit plusieurs entreprises - principalement les plus grandes - car il répondait à un sujet capital qui allait devenir le défi majeur de ce 21ème siècle. Plusieurs entreprises avaient compris que se couvrir contre ce risque était incontournable puisque les entreprises embrassaient un changement profond au sein de leurs économies. Ainsi, les assureurs couvraient un risque nouveau pour lequel ils ne disposaient pas d’assez de données pour modéliser le risque qu’ils assuraient et pour lesquels la sinistralité n’avait pas encore pointé le bout de son nez. Les entreprises qui souhaitaient s’assurer avaient accès à des limites de garanties considérables, des garanties larges et des franchises compétitives pour un prix qui aujourd’hui, avec du recul, ne correspondait pas à la réalité des expositions contractées par les assureurs. A cette complexité s’ajoutait la problématique de la quantification de ce risque au regard de son caractère transfrontalier (lorsqu’on tient compte notamment de l’interconnexion des réseaux dans le monde ainsi que du caractère protéiforme de la menace).
Devenu un outil incontournable dans l’approche de gestion des risques des entreprises, l’assurance cyber a réussi à convaincre malgré la complexité qu’on lui prête. Il est vrai que bon nombre de contrats gagneraient en lisibilité, permettant ainsi aux assurés une couverture plus simple et une meilleure interprétation des clauses du contrat en cas de survenance d’un sinistre, mais l’essence du contrat reste claire et perceptible par tous.
Gras Savoye a développé son propre intercalaire permettant l’harmonisation des garanties proposées par le marché de l’assurance et de garanties adaptées aux risques à couvrir, tout en facilitant la compréhension du contrat par ses clients.
La volonté des assureurs est de couvrir les actes malveillants en étant conscient que l’erreur humaine reste une cause principale des cybers attaques. Les conséquences financières garanties liées à ces actes malveillants sont :
La crise sanitaire a démontré pour la majorité des contrats l’efficacité de la rédaction des contrats d’assurance cyber : les clauses d’assurance répondaient parfaitement aux menaces liées au travail à distance, telles que l’intrusion dans le système d’information de l’entreprise ou encore celle de l’ordinateur professionnel du salarié. Cette période a également permis d’accroitre l’intérêt des entreprises vis-à-vis de cette couverture après qu’elles aient rapidement pris conscience des diverses conséquences dommageables d’une attaque Cyber et compris le contenu et l’intérêt des garanties d’une police d’assurance Cyber. Avez-vous vous aussi votre contrat d’assurance Cyber ?
1 Etude réalisée par Forest Consulting auprès de 48 responsables sécurité, 61 dirigeants et 44 télétravailleurs en France.