Six cents milliards de dollars, c’est le coût annuel mondial de la cybercriminalité pour les entreprises en 20181. Conséquence, le marché de la cyberassurance se développe : en 2016, le volume des primes mondiales en cyberassurance était estimé à 3,5 milliards de dollars, dont 3 milliards provenaient des sociétés américaines, selon l’OCDE. Et ce n’est pas fini. Il devrait atteindre plus de 10 milliards de dollars en 2020, selon le rapport Seizing the Cyber Insurance Opportunity de KPMG, paru en 2017. De quoi aiguiser les appétits !

Contrairement aux États-Unis, où l’assurance cyber se développe depuis les années 2000, le marché européen demeure embryonnaire. Résultat, « une cyber-assurance en Europe continentale coûte deux à trois fois moins cher que sur le marché anglais ou américain, analyse Luc Vignancour, souscripteur cyber chez Beazley. Mais je ne sais pas si cela durera. Les sinistres en France ne dépassent pas encore les dix millions d’euros. Ce sera le premier gros sinistre de cumul qui fera bouger les prix ». L’offre supérieure à la demande et la concurrence féroce expliquent aussi les politiques tarifaires. « Les polices sont présentées avec un volet responsabilité civile et un volet dommages. Certains assureurs, pour des contextes particuliers de fusion, de rapprochement ou d’envie de constituer un matelas de primes, sont très agressifs. Ils proposent des prix relativement bas sur les entreprises du CAC 40, un segment de marché qui est fortement équipé, mais aussi sur les ETI. Or celles-ci présentent un niveau de sécurité inférieur. Nous arrivons à une situation illogique : des prix très bas pour des risques beaucoup moins matures », analyse Jérôme Chartrain, souscripteur cyber chez Allianz Global Corporate & Specialty (AGCS), l’entité d’Allianz dédiée à l’assurance des grands risques industriels et de spécialités.

Des risques énormes

Traversant les frontières et pouvant s’attaquer à n’importe quelle entreprise quels que soient sa taille et son secteur, le risque cyber pose la question de la méthode de mutualisation. « Il existe en assurance une mutualisation sur le plan géographique, notamment à l’échelle mondiale. Le cyber, de par sa nature, n’est pas dans ce schéma-là. Potentiellement, il pourrait se mutualiser de manière moins nette que les risques traditionnels et c’est une difficulté supplémentaire pour les compagnies d’assurances et de réassurance », déclare Alexandre Hassler, actuaire certifié IA et dirigeant de Lyon RE. À tel point que cela pourrait remettre en question la pérennité du marché. En 2017, le Lloyd’s et la société Cyence ont scénarisé le piratage d’un fournisseur de cloud. Les pertes économiques s’échelonnaient de 15,6 milliards de dollars à 121,4 milliards en fonction des entreprises concernées et de la durée d’indisponibilité des services. « Est-ce que le marché de l’assurance et de la réassurance est en mesure de fournir assez de capacité pour couvrir tous les sinistres et faire naître un marché de la cyberassurance suffisamment viable à long terme ? », interroge Alexandre Hassler.

Le monde de l’assurance doit d’abord maîtriser le cumul des engagements, et ce à plusieurs titres. La spécificité du risque cyber, c’est qu’un même événement est susceptible de causer de multiples sinistres au titre de diverses polices chez de multiples assurés à travers le monde. Mais un même malware qui affecterait plusieurs entreprises n’est pas le risque de cumul le plus préoccupant, selon Jérôme Chartrain : « La plupart de nos assurés passent par des prestataires informatiques et sous-traitent certaines de leurs prestations comme l’hébergement. Si Google, Amazon ou OVH étaient touchés par un malware, que se passerait-il ? Si nous avons dix assurés qui sont hébergés par le même prestataire et que ce dernier connaît des difficultés de type cyber, nous pourrions avoir à payer dix fois la perte d’exploitation propre à chaque risque. »

L’assureur est donc particulièrement vigilant sur cette question et travaille avec Cyence, une société spécialisée en modélisation et analyse des cyberrisques, pour identifier les prestataires informatiques des assurés ou futurs assurés d’Allianz. « Si nous ne nommons pas les prestataires dans le contrat, il faut que les assurés soient capables de nous renseigner sur les clauses contractuelles et les types de responsabilité, pour que nous puissions engager un recours contre ce prestataire en cas de sinistre », expose Jérôme Chartrain.

La tendance actuelle des demandes des entreprises pourrait aussi générer un autre risque de cumul. « Certains acteurs industriels voudraient que l’assureur prenne en charge leur risque de pertes d’exploitation lié à la défaillance de n’importe quel type de fournisseurs par exemple un fournisseur de pièces, ou de services. Or il est quasiment impossible de maîtriser ces risques », signale Jérôme Chartrain.

Cat bonds, cyber bonds ?

Prêts à absorber les pertes extrêmes de plusieurs cédants, les réassureurs sont particulièrement vulnérables au risque de cumul. « Leur grande crainte, c’est un événement de masse, et ils n’ont pas d’historique là-dessus. Comment savoir si leur tarif est adapté ou pas, et comment le négocier compte tenu de la petitesse du marché ? Ils sont très prudents actuellement. Et il y a beaucoup de réassureurs qui sont présents sur le marché mais avec des capacités relativement faibles », décrit Florian Pons, actuaire certifié IA et cofondateur de Cri4Data. Pour limiter les risques, les réassureurs misent aussi sur les exclusions. Stefan Golling, le responsable de la souscription entreprise de Munich Re, déclarait ainsi dans une interview interne en juillet que la société ne voulait pas assurer certains aspects du cyberrisque à l’instar d’une « panne généralisée de réseaux externes, tels que l’électricité, les télécommunications ou l’infrastructure Internet ». Par ailleurs, « les réassureurs mettent une pression énorme pour exclure la guerre mais aujourd’hui les attaques informatiques sont des armes de guerre. Comment distinguer une cyberattaque résultant d’un conflit et une simple attaque malveillante ? Une rumeur de guerre informatique pourrait bloquer l’indemnisation même si retrouver l’origine d’une attaque est actuellement pratiquement impossible », souligne Luc Vignancour.

Des catastrophes pouvant engendrer des dégâts d’une telle ampleur que même les réassureurs ne soient pas en mesure de les couvrir… La situation s’apparente au risque catastrophe naturelle, qui a donné naissance aux obligations catastrophes. Ce transfert de risque au marché financier et le recours aux fonds de titrisation d’assurance (ILS) pourraient viabiliser le marché. « Une solution pour résoudre la question du manque de capacité pourrait être d’émettre sur les marchés financiers des titres pour couvrir des événements cyber, des sortes de cyber bonds », imagine Alexandre Hassler.

Autre défi pour la pérennité de l’assurance cyber : les silent cover ou garanties silencieuses. Ce terme renvoie à la couverture de faits générateurs d’événement cyber par des contrats traditionnels existants sans que celle-ci ait été identifiée comme telle ou prise en compte dans la tarification des contrats traditionnels par l’assureur. « Les contrats risque d’exploitation en portefeuille couvrent en partie le cyberrisque, car, en fait, il ne s’agit pas à proprement parler d’un nouveau risque. Mais sa fréquence et sa gravité se sont considérablement accrues depuis quelque temps du fait de l’explosion du numérique, ce qui alourdit les engagements des assureurs de façon importante. Il faut donc en premier lieu évaluer le périmètre de ce risque et le poids dans les contrats existants et parallèlement rédiger les nouveaux contrats en conséquence : par exemple, libeller certaines exclusions pour préciser le champ de ce qui est couvert et de ce qui n’est pas couvert et inciter les assurés à adopter de bonnes pratiques pour se prémunir du mieux possible des attaques des hackers et des erreurs internes. L’une des difficultés pour les équipes, juristes et actuaires, est de bien définir ce qu’est le cyberrisque, jusqu’où va-t-il ? Risque d’image, indemnisation des sanctions, etc. », explicite Florence Picard, membre du Haut-conseil de l’Institut des actuaires en charge du groupe de travail cyberrisque.

RGPD : quelle prise en charge des sanctions ?

D’autant que la définition même du risque tend à s’élargir. Avec l’instauration du règlement sur la protection des données personnelles, les assureurs sont par exemple confrontés à la question de l’indemnisation ou non des sanctions. « Dans nos contrats d’assurance, nous indiquons que nous pouvons prendre en charge des sanctions pécuniaires ou des amendes civiles imposées par le régulateur responsable de la mise en œuvre et du respect de la législation sur la protection des données informatiques, dès lors qu’elles sont légalement assurables. Mais nous n’avons pas de cas réel de prise en charge de ces amendes, nous sommes dans l’expectative, nous l’écrivons dans notre texte de garantie comme beaucoup d’assureurs pour nous laisser la possibilité de les couvrir demain si les décisions juridiques venaient à évoluer en France. Comme notre contrat a pour vocation de couvrir nos assurés pour des problématiques touchant leur système d’information et les données qu’ils peuvent collecter et/ou traiter aux quatre coins du monde, nous ne pouvons pas seulement nous baser sur la législation française ou européenne », précise Jérôme Chartrain. Les garanties -silencieuses inquiètent aussi les régulateurs. En juillet, la Prudential Regulation Authority du Royaume-Uni a demandé aux assureurs de réduire leur exposition -involontaire aux cyberrisques et de déterminer clairement si les cyberattaques sont couvertes par des polices ordinaires.

Innover face au manque de données

« Un manque cruel de données, des données peu fiables et un risque qui est toujours en train d’évoluer, stable ni du point de vue réglementaire, ni du point de vue technique. Le risque cyber est un casse-tête pour l’actuaire et les assureurs », déclare Florian Pons. Impossible de l’appréhender en s’appuyant uniquement sur les données d’un portefeuille, il est nécessaire d’y associer des sources externes. « Il y a peu de bases de données sur le cyber et elles sont très incomplètes et peu fiables. Et c’est un défi pour les assureurs européens car les données sont exclusivement américaines », ajoute Alexandre Hassler. Autre écueil : le comportement des assurés. Si certaines attaques ne sont pas déclarées parce qu’elles ne sont pas détectées, d’autres sont volontairement passées sous silence. « Les entreprises sont peu enclines à communiquer car elles considèrent que le risque d’image leur est encore plus préjudiciable. Mais les obligations de déclaration de vol de données (NDLR : RGPD) pourraient changer la donne car les assurés peuvent se mettre à déclarer des sinistres et entraîner une hausse de la sinistralité. Sur un risque nouveau où la réglementation évolue, c’est tout à fait envisageable d’avoir un changement de comportement. Cela entre dans les défis de l’actuaire. Il faut évaluer à quel point ce comportement est fiable dans le temps », énonce Florian Pons.

Face au cyberrisque, il s’avère décidément nécessaire d’innover et d’abandonner le modèle traditionnel de la fréquence et du coût. « Pour développer mes modèles, j’ai choisi une approche d’intelligence économique. Elle consiste à agréger l’ensemble des informations qui concernent l’entreprise, son écosystème et ses données pour, à partir de là, évaluer pour quelles raisons et dans quelle mesure elle pourrait être touchée », explique Alexandre Hassler. Mais le risque cyber n’est pas qu’un risque technologique. « L’approche des actuaires consiste à analyser tous les facteurs de risque : les aspects informatique et technologique bien sûr, mais aussi géopolitique et statistique, et surtout la dimension humaine. L’organisation de la gouvernance donne une très bonne indication sur le risque. Le conseil d’administration travaille-t-il sur le cyber, la sécurité informatique est-elle correctement représentée au Comex, quel pourcentage représente la sécurité informatique dans le budget informatique, existe-t-il des exercices de plan de continuité d’activité spécifiques au cyberrisque, l’ensemble de l’entreprise est-elle concernée ou considère-t-on à tort que le cyberrisque est l’affaire des informaticiens ? Autant de critères essentiels pour l’évaluation », énumère Florence Picard.

Et c’est sans compter les évolutions et les révolutions technologiques. « Il faut sortir du cadre assurantiel pur et appréhender le risque de manière plus globale. La blockchain, l’ordinateur quantique rebattent les cartes… Par exemple, une entreprise utilisant la blockchain comme système d’information pose d’autres problématiques. Puisque les données sont partagées, il importera de déterminer si la blockchain a été correctement mise en place pour assurer l’intégrité des données et protéger les données contre les fuites », assure Alexandre Hassler. Pour imaginer le futur de la cyberassurance, la maîtrise de ces technologies est aussi essentielle.