« Les cyberrisques font encore plus peur aux assureurs qu’aux assurés ! »

L’actuariel : Quelle est la particularité de l’assurance cyber ?

Ali Jaghdam : Contrairement aux autres types de risques, les cyberrisques font encore plus peur aux assureurs qu’aux assurés ! Ils échappent complètement aux modèles de tarification : attaques sévères encore trop rares et conséquences désastreuses. En outre, le peu de données que les assureurs pourraient exploiter reste tenu secret par les entreprises. Enfin, le risque n’a pas de frontière et ne peut donc pas être maîtrisé par régionalisation comme pour les catastrophes naturelles. Résultat : les offres sont souvent peu lisibles. Côté assurés, en revanche, les cyberrisques ne font pas assez peur ! La majorité des entreprises ne pensent même pas à se protéger. Et quand elles se penchent sur la question, elles estiment souvent le prix trop élevé par manque de conscience de la gravité des conséquences. Enfin, pour les contrats cyber, les assurés peuvent craindre de se retrouver non couverts en raison d’une interprétation différente des modalités de l’attaque, qui, il est vrai, ne cessent d’évoluer.

L’actuariel : Que faire pour sortir de cette double impasse ?

A.J. : Pour augmenter l’aversion aux cyberrisques des entreprises, il faut une vraie médiatisation des sinistres : partage de l’information sur l’état de sécurité technique de la victime, sur la formation des salariés et sur le montant de ses pertes. Des centres de collecte de l’information doivent se créer et les pouvoirs publics ont un rôle à jouer. Pour diminuer l’aversion des assureurs, le développement du marché de la réassurance est un premier levier, à condition de mettre en place des mesures de prévention : formations spécifiques contrôlées par des stress tests réguliers. Par ailleurs, il faut lutter par la loi contre les « paradis numériques », qui favorisent l’action des pirates, et introduire des certifications sur le marché de la cybersécurité.

L’actuariel : Quel est le principal écueil à éviter ?

A.J. : Les entreprises ne doivent surtout pas se contenter de prendre une assurance en se disant « c’est bon, la question est réglée ». L’assurance n’est qu’une partie de la résolution du problème, qui consiste d’abord à faire une analyse des risques, puis à mettre en place des solutions techniques accompagnées d’une gouvernance des risques et, enfin, à ajuster en permanence ceux-ci en fonction de l’évolution de la menace. Dans cette optique, les assureurs pourraient, en acquérant de nouvelles compétences, intégrer le marché de la cybersécurité et devenir fournisseurs de services. On aurait ainsi des contrats à deux volets : un contrat d’assurance sur les dommages subis et un accompagnement sur le management du risque.

Pour en savoir plus : Comment débloquer le marché de l’assurance cyber en France ? par C. d’Aumale, F. Gratiolet, S. Sollat et F.X. Vincent, publié par le groupe cybersécurité des alumni de Telecom Paristech.