Le nouveau rôle des assureurs face à la recrudescence des cyber-attaques
L’impact financier du cyber-crime s’est élevé à près de 4,8 Milliards d’euros en 2014 (cf . étude de Ponemon Institut). Face à la recrudescence des cyber-attaques, la protection et l’assurance du patrimoine numérique est devenue une priorité pour les dirigeants des grandes entreprises et des PME. Fort de ce constat, les assureurs développent de nouvelles offres pour compenser les pertes causées par les cyber-infractions (ex : piratage, violation de données, déni de service, virus) et mieux accompagner leurs clients dans leur démarche de cyber-sécurité.
Si pour l’heure, les grandes entreprises sont les principaux consommateurs des produits d’assurance contre les cyber-risques, le besoin de protection est en forte croissance du côté des PME.
La cyber-assurance : un marché en essor au regard de la conjoncture
D’après le baromètre d’Allianz en 2014, le cyber-crime se situe au huitième rang des préoccupations majeures des entreprises françaises (nota : sondage mené auprès de quatre-cent dirigeants dans trente pays). Un constat qui laisse présager que le potentiel du marché de la cyber-assurance s’étend à grande allure. En effet, l’essor des réseaux sociaux, l’envol des données vers le cloud, la tendance vers la digitalisation de la chaîne de valeur des entreprises ou encore l’interconnexion des systèmes d’information, sont autant de facteurs qui rendent les entreprises vulnérables aux risques numériques (ex : une cyber-attaque a coûté à l’enseigne Target 236 millions de dollars en 2014). La directive européenne obligeant les entreprises à déclarer aux victimes toutes atteintes aux données personnelles renforce l’impact du cyber- crime sur l’image de marque des entreprises et la nécessité de prendre une assurance.
Des assureurs de plus en plus sensibles à la demande des entreprises
Pour répondre à la demande croissante des entreprises de protection contre les risques de cyber-attaques, les assureurs spécialisés (ex : Hiscox, Zurich, AIG, Beazley) mais également généralistes (ex : AXA, Allianz) ne faillissent plus à développer de nouvelles gammes de protection. Toutefois en France, les assureurs peinent à se lancer sur ce créneau. Le marché s’est réellement amorcé depuis deux ans seulement.
D’autre part, en raison de l’absence des données historiques sur ce type de menace, l’évaluation du risque, et du périmètre d’impact demeure une activité complexe pour les actuaires. A ce jour, le tarif de ce genre de protection est calculé sur la base de critères de taille des entreprises, de nature et de quantité d’informations détenues, et enfin du degré de dépendance des institutions vis-à-vis de leur système d’information. Ainsi, pour certaines entreprises, les primes peuvent atteindre plusieurs centaines de milliers d’euros par an.
Une protection qui doit s’intégrer dans une véritable démarche de gestion des risques
Si une partie des risques peut être sous-traitée aux assureurs, au travers de contrats d’assurance, les entreprises ne sont pas exemptes de développer de véritables politiques de gestion des risques, en cohérence avec leurs objectifs et orientations stratégiques.
D’autant plus que les assureurs peuvent appliquer des « franchises de moralisation » pour inciter les souscripteurs à augmenter leur niveau de prévention. Dans cette lignée, certains assureurs étendent le périmètre de leurs offres vers des prestations de conseil en gestion de crise. Si certains s’associent à des cabinets de conseil indépendants spécialisés dans la gestion des risques informatiques pour valoriser leurs offres de service, d’autres choisissent leur expertise en gestion de crise. A titre d’exemple, l’assureur Beazley se positionne comme « chef d’orchestre de la gestion de crise ».
TPE /PME : un segment à ne pas négliger
En raison du montant des primes, jugé encore trop élevé pour les souscripteurs, les grandes entreprises sont aujourd’hui les principaux signataires des contrats de cyber-assurance. Néanmoins, le besoin de couverture des PME est bien existant. Les TPE /PME sont de plus en plus sujettes à ces types de risque. Étant encore insuffisamment protégées, elles deviennent des proies faciles pour les agresseurs, et ce d’autant plus lorsqu’elles entretiennent des liens étroits – commerciaux entre autres – avec de plus grandes structures. Les courtiers, tel Add-Value Assurances, l’ont bien compris en créant de nouvelles offres pour cette catégorie d’entreprises.