Le risque de cyberattaque n’a jamais été aussi élevé, pourtant, les entreprises s’assurent de moins en moins. Une vraie problématique, attendu que les cyber risques menacent le fonctionnement, voire la pérennité des entreprises.
Fournisseurs de technologies et assureurs se sont rapprochés pour proposer des solutions plus adaptées.
En 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés) constatait une augmentation de + 255 % des attaques par rançon en un an. Pourtant, beaucoup d’entreprises, notamment les PME, ne sont pas protégées en France. Alors même que le risque d’une faillite après une cyber attaque est une réalité.
Trop d’entreprises pensent être suffisamment protégées, parce que leurs données sont hébergées sur un cloud, parce qu’ils font appel à un prestataire IT ou parce qu’ils jugent que leurs données ne sont pas sensibles. En réalité, les PME représentent une cible de choix pour les nombreux hackers. Il existe aujourd’hui des RaaS (ransomware-as-a-service) qui peuvent être utilisés par n’importe qui. Un hacker novice peut donc acheter pour quelques dizaines d’euros un kit pour lancer un ransomware avec une assistance client et un tableau de bord pour les offres les plus développées. Visant les cibles les plus faciles.
Des indemnisations qui flambent
La solution pour les entreprises consisterait donc à assurer le cyber risque. Oui, mais voilà, les assureurs se retrouvent dépassés face à un risque qu’il juge incontrôlable. L’AMRAE (l’association pour le Management des Risques et des Assurances de l’Entreprise) a publié, en mai 2021, LUCY (LUmière sur la CYberassurance). Le montant des sommes indemnisées entre 2019 et 2020 a presque triplé passant de 75 millions d’euros à 217 millions d’euros. Le taux de sinistralité a quant à lui doublé. Le ratio sinistre sur prime est passé de 84 % à 167 % en un an.
La Lloyd’s ne couvrira plus certains risques
Pour pallier ce problème, certains assureurs ont doublé, voire triplé leurs primes d’assurance auprès de leurs clients, ce qui a porté ses fruits puisqu’en 2021, le taux de sinistralité – toute entreprise confondue – est repassé au niveau de 2019 avec un ratio à 88% (LUCY 2022).
Il reste cependant élevé chez les PME qui sont moins de 1 % à être assurées mais dont le loss ratio était de 325% en 2021.
Le 18 août, l’assureur Lloyd’s de Londres a tout bonnement informé ses clients qu’il ne couvrirait plus les cyberattaques soutenues par un État à partir de mars 2023. « Avec le contexte géopolitique tendu, le Lloyd’s veut se protéger d’un risque systémique. Si une cyber guerre ouverte se déclenchait, il ne pourrait couvrir tous ses clients. On est sur un jeune marché de la cyber assurance, la volumétrie actuelle ne permettrait pas de couvrir un risque systémique » explique Marc-Henri Boydron, fondateur de Cyber Cover, courtier spécialiste du cyber risque dans un article de JDN.
Cartographier les risques : un prérequis
Les assureurs, de plus en plus regardants, s’informent désormais sur la bonne gouvernance de la cybersécurité chez leurs futurs clients. Or, aujourd’hui, plus d’une entreprise sur deux ne réalise pas une évaluation assez poussée pour se prémunir des risques cyber.
C’est notamment le constat de la dernière étude de Trend Micro publiée fin août 2022. Celle-ci met en lumière la complexité de cartographier correctement le périmètre à risque pour les entreprises et la difficulté à mettre en place le bon niveau de sécurité, en raison d’équipes de direction trop éloignées de ces problématiques.
En effet, près d’un tiers des responsables et décideurs IT reconnaissent que l’évaluation des risques est le principal domaine de la gestion de la surface d’attaque avec lequel ils ont le plus de difficultés.
Une grande majorité (plus de 80 %) se sent davantage exposée/vulnérable aux rançongiciels, aux attaques par hameçonnage ou/et aux attaques via l’Internet des objets (IoT). Toutefois, plus d’un sur deux (54 %) estime ne pas réaliser d’évaluations suffisamment élaborées pour prémunir l’entreprise contre ses risques. Une faiblesse qui semble ne pas s’arrêter là, les environnements technologiques sont jugés trop complexes et le manque de sensibilisation de leur Direction exacerberait selon eux davantage encore les problèmes de sécurité.
De nouvelles offres tech/assureurs
La tendance récente est celle d’une collaboration entre les fournisseurs de technologie et les assureurs.
Ainsi, l’insurtech américaine Cowbell Cyber a annoncé fin août un partenariat avec le groupe helvétique Swiss Re, pour proposer aux entreprises utilisant AWS une couverture d’assurance cyber basée sur les données. Cowbell explique que dans le cadre de ce partenariat, l’offre de cyberassurance va tirer parti de la technologie de surveillance des risques développée par Swiss Re, afin de proposer des couvertures sur mesure aux organisations qui opèrent dans des environnements AWS. Preuve de l’intérêt suscité par les solutions insurtech taillées pour la cyberassurance, Cowbell Cyber a levé 100 millions de dollars en mars dernier. Et la firme californienne n’est pas la seule sur ce marché en ébullition, emmené par l’essor des collaborations entre tech et assurance.
En septembre 2021, Microsoft nouait un partenariat avec l’insurtech canadienne At-Bay, alors que Zurich Insurance investissait à la même époque dans Boxx, une start-up elle aussi canadienne et spécialisée dans la combinaison prévention-couverture cyber. Autant de jeunes pousses qui marchent dans les pas de la scale-up Coalition (qui a racheté la start-up suisse BinaryEdge), également partenaire de Swiss Re. Valorisée 5 milliards de dollars depuis sa dernière levée de fonds en juillet dernier, Coalition a en outre racheté il y a peu l’assurance Digital Affect, filiale de Munich Re. Le réassureur allemand avait par ailleurs conclu un partenariat en 2021 avec Google et Allianz pour une offre de cyberassurance ciblant les entreprises employant la Google Cloud Platform.
Autre rapprochement au Canada où Ridge Canada Cyber Security, agence de gestion d’assurance générale qui fournit des produits d’assurance spécialisés aux agents et courtiers d’assurance canadiens et CyberCatch, fournisseur américain de logiciels ont également noué, fin août, un partenariat visant à réduire les risques que les entreprises assurées soient touchées par une violation des contrôles de sécurité en leur faisant mettre en œuvre les contrôles nationaux de cybersécurité de base CAN/CIOSC 104 pour les petites et moyennes organisations.
Autant d’illustrations de la dynamique et de l’innovation du secteur de l’assurance qui apporte des réponses nouvelles à des risques nouveaux.
