Les attaques informatiques criminelles contre des entreprises ou des institutions ont explosé l’an dernier en France, a indiqué lundi 11 janvier Guillaume Poupard, directeur général de l’Anssi, l’agence publique gardienne de la sécurité informatique française..Pour les entreprises et quelles que soient leurs tailles, une très bonne connaissance des enjeux cyber est nécessaire pour bien en prévenir les risques et s’assurer. Pour nous en parler, nous avons sollicité Fabien Vaillant Underwriting Manager – QBE Europe.
Les cyberattaques, nouveau risque majeur ? Risque évolutif, polymorphe et assurable ?
Le risque cyber évolue à la vitesse des technologies. Il prend plusieurs formes et est croissant. Les cybercriminels ont toujours de l’avance et la course est donc perdue à l’avance. Il y a 10 ans nous parlions essentiellement de contrats qui couvraient les pertes de données, les garanties étaient très limitées et peu d’entreprises étaient assurées contre ce risque. Aujourd’hui, les entreprises ont une responsabilité plus importante, la législation est beaucoup plus forte et les obligations pesant sur les entreprises sont conséquentes. Concernant la prise de conscience de ce risque, il y a un vrai mouvement depuis les 2 ou 3 dernières années. Cependant toutes les entreprises n’ont pas la même maturité et il faut bien préciser que le niveau de risque dépend des niveaux dépendance aux systèmes d’information. La prise de conscience des grandes entreprises est très forte et elles mettent en place de vraies politiques de gestion des risques cyber. Sur les autres entreprises, il y a la nécessité de faire un gros travail de pédagogie. Les petites PME sont sensibilisées au risque mais pensent être moins exposées car moins visibles. Quant aux PME, si elles commencent à se protéger, elles n’ont néanmoins pas pris toute la mesure des risques financiers qu’elles encourent. Aujourd’hui, nous constatons une explosion des attaques cyber générées par le télétravail (ransomware, fishing,..) qui a un effet évident d’augmenter la vulnérabilité des entreprises. Il est évident que les entreprises doivent former et, informer très régulièrement, pour que les salariés puissent s’approprier les gestes barrières. Dans 5 ans, l’ensemble du contexte sera forcément très différent.
Comment voyez-vous le marché actuel et son potentiel et que pouvez-vous nous dire concernant les offres et les services actuels ?
Fin 2019, la FFA estimait le marché Français à 105 millions d’Euros de prime. Je pense que sa taille doublera très vite, ces dernières années ayant connu des taux de croissance de l’ordre de 20 à 25% par an. Concernant les offres et les services liés aux risques cyber, beaucoup d’assureurs ont misé sur la prévention, en aidant leur client à mettre en place des audits de sécurité informatique, réaliser des visites de risques et des tests de vulnérabilité et en leur proposant des garanties d’assistance et de gestion de crise. La stratégie est d’éviter le risque, sa propagation et de limiter l’ensemble des conséquences.
En termes d’évolution et d’innovation sur ces risques, il est nécessaire de continuer à travailler sur des services en amont du risque (bonnes pratiques pour anticiper les risques) et de créer un écosystème de services (partenariats) qui répondent directement aux besoins des clients. Les PME sont très en demande d’accompagnement, de services et d’une plus grande proximité de leurs assureurs. Quant au secteur de l’assurance, l’importance est de continuer à mieux comprendre et anticiper les risques cyber.
Quelles évolutions du pricing des risques et de l’évaluation des risques ?
La tarification des risques Cyber s’est affinée ces dernières années, notamment pour prendre en compte la réalité des risques en fonction de la taille de l’entreprise. En parallèle, le coût d’une attaque cyber a augmenté chaque année, entraînant une inflation du coût des sinistres, par conséquence des contrats. Les assureurs ont également été amenés à mieux contrôler leurs expositions ces dernières années et à réduire leurs capacités : aucune compagnie n’offre aujourd’hui une capacité supérieure à 25 millions d’euros.
Les contrats cyber excluent-ils aujourd’hui une pandémie cyber ? que ferait-on dans une telle situation ?
Il est clair que l’assurance ne pourrait faire face à une telle situation et l’intention des contrats est bien d’exclure une pandémie cyber. Il est à ce titre excessivement important de bien définir les contrats, avec des exclusions formelles, claires et sans ambiguïté.
Réécouter le Podcast du 16/12 dernier « Entre hygiène informatique et pandémie numérique : quels rôles pour l’assurance ? » Avec : Eric Lamouret, Julien Nelkin, Jean-Charles Naimi et Jean-Luc Gambey
Nous proposons un cycle de communication sur le sujet des risques cyber, sur l’ensemble de nos supports : L’assurance en mouvement, webtv, podcasts, événements, et magazines). Si vous êtes intéressé, n’hésitez pas à nous contacter.
