Face aux cyber-risques, la demande en protection assurantielle s’est accélérée. Rien qu’au cours des dernières années, le marché mondial a triplé, atteignant 13 milliards de dollars en 2022 pour dépasser les 90 milliards de dollars d’ici 2033 selon les estimations. Mais les cyberassurance sont-elles réellement indispensables sans renforcement de la résilience ?
C’est la question que pose Siham Eisele, Regional Sales Director de Zerto. Ses réponses pour les lecteurs de Solutions numériques é cybersécurité.
Totalisant 327 M€ de primes en 2022, soit à peine plus de 1% de l’assurance des risques d’entreprises, le marché français de la cyber assurance est émergent mais gagne rapidement en maturité. La cyber assurance est une assurance multi risques professionnelle couvrant l’entreprise autour de ses opérations numériques : pertes liées aux coûts d’exploitation résultant d’une violation, d’une extorsion, aux dommages causés sur les actifs numériques, l’interruption d’activité et la responsabilité civile. Pour les entreprises victimes de cybercriminalité, dont les conséquences peuvent être financièrement désastreuses, ce type d’assurance est devenu un support incontournable au niveau global pour se rétablir et – éventuellement – continuer à assurer la continuité des opérations.
Les cyberattaques prolifèrent et réussissent, les montants des indemnités versées aux entreprises victimes sont en augmentation. A cela s’ajoute, en attente de vote au Sénat, une modification du projet de loi de simplification de la vie économique visant à lutter contre la complexité administrative en France. Le volet assurantiel est dans la ligne de mire des régulateurs, demandant à diminuer le temps accordé aux assureurs pour proposer une indemnisation aux entreprises. Résultat : les assureurs renforcent leurs critères d’éligibilité et ajustent leurs tarifs et leurs offres (hausse des taux de prime, augmentation des franchises, …). Des couvertures complètes à des prix raisonnables deviennent aujourd’hui difficiles à dénicher !
Un marché en mutation
C’est le cas notamment avec la montée en flèche des ransomwares, principal risque des cyber assurances. Le « Panorama de la cybermenace 2023 » publié par l’ANSSI révèle une augmentation de 30% en 2023 vs 2022 du nombre d’attaques par rançongiciel. Quand on sait que ce ne sont pas moins de 74% des entreprises françaises qui ont identifié une attaque de ce type, plaçant le pays en tête des pays les plus touchés, la facture risque d’être salée ! Conscients de la menace, les assureurs ont de facto resserré leurs critères de souscription ne couvrant plus par exemple tous les coûts associés à une violation comme l’atteinte à la réputation, la perte de confiance des clients ou le coût total de la récupération des données et de la restauration système. Pourtant, ces questions représentent un ratio important de la facture globale d’une reprise après sinistre n’étant souvent visibles qu’après la restauration des données et le rétablissement des activités.
En outre, si le volume des primes pour les grandes entreprises a connu une augmentation régulière entre 2019 et 2022 puis stagné en 2023, le nombre d’entreprises de taille intermédiaire qui s’assurent demeure faible (15 %). Le coût de l’assurance peut dépasser ses avantages potentiels pour certaines entreprises. Elles sont d’ailleurs aujourd’hui nombreuses à s’interroger sur une potentielle impossibilité, à terme, à souscrire à une cyber assurance.
Ne pas négliger la valeur de la résilience
La cyber assurance doit faire partie d’une stratégie de cybersécurité efficace et n’être utilisée qu’en dernier recours. Car si l’assurance permet à une organisation de récupérer la plupart voire la totalité des pertes financières à la suite d’une violation, d’autres problèmes, perturbations opérationnelles, stress des collaborateurs, insatisfaction des clients, perte de données critiques etc. viendront s’additionner à l’impact négatif global. La priorité reste donc l’optimisation de la stratégie de sécurité avec la mise en place de technologies éprouvées de protection et de résilience, la formation des utilisateurs et des processus de conformité pour ériger une solide défense contre les acteurs de la menace. Une organisation résiliente sera préparée et capable de remettre ses systèmes informatiques en état de marche dans les minutes qui suivent un incident, sans perte de données. Même attaquée, elle aura beaucoup plus de chances de résister complètement ou d’atténuer rapidement les impacts. D’ailleurs, toujours selon le rapport LUCY réalisé par l’AMRAE, si la sévérité des sinistres a baissé pour les entreprises françaises – le montant des indemnités s’élevant en 2023 à 38 M€ contre 72 M€ en 2022, c’est surtout grâce à l’augmentation de leur cyber maturité.
Les cyber assurances s’adaptent en continu non seulement face aux nouvelles menaces mais aussi au contexte géopolitique et demandent des preuves de pratiques de sécurité robustes. Reste encore à savoir si les risques à impact critiques tels que les ransomwares continueront à être couverts, une étude mondiale 2023 révélant que 21 % des organisations ont eu la surprise de constater que ces derniers étaient exclus de leurs polices d’assurance. À la lumière de ces incertitudes, augmenter sa résilience restera une nécessité.
Siham Eisele