Le marché cyber s’est fortement tendu dans le monde entier depuis deux ans, les assureurs ont réduit leurs capacités, augmenté les primes et franchises, et limité les garanties. Il reste, avec ses segments grands comptes et PME, néanmoins durablement stratégique aux yeux des assureurs.
La digitalisation des activités des entreprises, qui s’est accélérée pendant la crise sanitaire, le télétravail et la hausse du recours aux services cloud augmente l’exposition des entreprises au risque cyber. Après les attaques non ciblées NotPetya et Wannacry en 2017, la fréquence et surtout l’intensité des sinistres cyber se sont accrues depuis 2019, avec une nette augmentation des ransomwares et des attaques ciblées.
« L’intensité a augmenté depuis 2019 car les attaques, dont les ransomwares, sont devenues plus sophistiquées, indique Diego Sainz, référent technique cyber du courtier Verspieren. Il y a plus d’actifs contaminés, entraînant une hausse des coûts : reconstruction des données, rançon, expertise informatique, coûts de gestion de l’incident, pertes d’exploitation. Et les attaques ciblées sérielles sont de plus en plus courantes. »
Un marché et des sinistres qui augmentent
Sur 10 sinistres déclarés chez le courtier Marsh France, 8 sont liés à la malveillance, 7 aux ransomwares. Les coûts sont constitués en moyenne à 70 % des pertes d’exploitation, à 25 % des frais de reconstitution et à 5% de la responsabilité civile (RC).
Même si le marché est plus restreint en Europe qu’aux Etats-Unis, où il est né, il suit les mêmes tendances en termes de sinistralité et de conditions d’assurance. En France, les primes se sont élevées à 105 M€ en 2019, 144 M€ en 2020 (+37 %) et 219 M€ en 2021, en hausse de 52 %, selon France Assureurs. « En Europe, la France est l’un des pays les plus visés par les ransomwares après le Royaume-Uni. Le soft market (conditions tarifaires basses et souplesse de souscription) ne pouvait plus durer », souligne Amanda Maréchal, souscriptrice cyber chez QBE, assureur australien proposant une assurance cyber en France depuis 2018. « Début 2021, il y avait trois fois plus de montants de sinistres que de primes versées, remarque Luc Vignancour, responsable souscription cyber chez Beazley. Si les grandes entreprises sont déjà très matures, l’intensité de leurs sinistres fait mal au marché. »
Toutefois, selon l’AMRAE, la part des sinistres cyber couverts par une assurance cyber en France qui ont donné lieu à une indemnisation inférieure à 3 M€ en 2021, est de 97 %.
Pour Nicolas Kaddeche, directeur technique chez Hiscox France, « la réassurance s’est raréfiée et renchérie, contribuant à faire de même sur le marché de l’assurance cyber. »
Lari Lehtonen, responsable de l’équipe développement en cyber chez Marsh, analyse : « La part de croissance organique du marché n’est que de 15 à 20 %, le reste est dû à l’augmentation des primes. Le taux prime/montant de garantie des grands comptes est passé de 2 à 4-5 % en deux ans. Pour une entreprise du SBF 120, une franchise habituelle est de 5 M€, haute de 10 à 15 M€. Sur les grands comptes, si AIG, Chubb ou Beazley restent en première ligne, Allianz, Axa XL ou Zurich ne prennent de nouvelles positions qu’en excess La demande excède l’offre sur le marché. » Le montage en ligne comprend une première ligne qui intervient dès le seuil de franchise dépassé, et des excess qui couvrent une fois que la capacité de la première ligne a joué à plein.
Même en renouvellement, Verspieren a eu des cas de 30 à 100 % d’augmentation des primes ; de grandes entreprises couvertes à hauteur de 25 à 30 M€ n’ont été renouvelées qu’à 10-15 M€. Pour un nouveau client, ce courtier doit parfois interroger une dizaine d’assureurs pour obtenir seulement deux ou trois offres, ce qui n’était pas le cas avant 2019.
Christophe Madec, directeur de clientèle et expert cyber de Bessé, conseil et courtier en assurances, précise : « Les niveaux de franchise ont été multipliés, parfois jusqu’à 10. Les restrictions de garanties sont plus nombreuses. La mutualisation des risques sur le marché reste insuffisante aujourd’hui, elle passera par un élargissement des assurés qui auront gagné en maturité. »
Des assureurs plus sélectifs
Beazley vise essentiellement les grandes entreprises, en première ligne. Sa couverture peut aller jusqu’à 25 M€ en France, en général 10 M€. A 25 M€ la franchise peut atteindre quasiment 10 M€. Les souscriptions sont conditionnées aux résultats d’un scan de ports et de monitoring et du questionnaire d’exposition aux risques. « Notre sélection des risques nous fait refuser des entreprises du middle market qui ont une maturité insuffisante, à qui on explique les problèmes de sécurité qu’elles doivent d’abord résoudre, explique Luc Vignancour. Nous pouvons les orienter vers des services partenaires afin qu’elles deviennent assurables. »
La politique de souscription de QBE est “stable et prudente”. Il pose beaucoup de questions techniques, sans réaliser de scan systématique. Il retravaille actuellement son questionnaire pour qu’il intègre mieux les problématiques liées aux ransomwares. QBE travaille en “excess” sur les grandes entreprises, en première ligne sur les PME et ETI, son cœur de cible. Sa capacité théorique est de 15 M€, en général 3 à 5 M€, parfois 10 M€.
Pour Lari Lehtonen, « on arrive à un point de rupture : les assureurs doivent stabiliser leur tarification. Et avec des scans de vulnérabilité pas toujours pertinents et des questionnaires qui ont doublé de taille en deux ans, la souscription pourrait être revue et là aussi se stabiliser, il est anormal que les règles de souscription changent tous les 3 mois. Seul un marché capable de donner de la perspective dans le temps aux clients, sera un marché pérenne. »
Répondre aux critères des assureurs est un chantier pour les PME et ETI. Il faut chercher une expertise en externe pour réaliser un audit et faire les investissements nécessaires.
12 % des PME assurées
Bernard Duterque, directeur de la souscription des risques spécialisés de Generali France, analyse le marché des PME : « La chasse à la part de marché cède en partie sa place à la recherche de rentabilité. Environ 12 % des PME sont aujourd’hui assurées, avec un fort bond depuis la médiatisation des attaques de 2017, et par le bouche à oreille. 70 % des attaques visent les TPE-PME. Mais plus une entreprise est petite, moins elle est assurée. La hausse des primes pour les PME est contenue par rapport aux grandes entreprises, car c’est plus un risque de fréquence que d’intensité sur ce segment. »
Generali assure des entreprises jusqu’à 100 M€ de CA. La souscription se fait par questionnaire. La prime moyenne est de 2 000 à 2 200 euros pour un portefeuille d’entreprises dont le CA est en général inférieur à 20 M€. La limite de garantie moyenne de dommages est de 1 M€, et de 500 000 euros en RC. L’assureur distingue les deux pour plus de sûreté pour ses clients. La RC intervient en général plus tard après un sinistre, notamment pour les sous-traitants qui pourraient être mis en cause comme porte d’entrée de l’incident. L’option fraude est souscrite dans deux tiers des cas. Generali travaille à réduire les couvertures silencieuses (risque cyber dans des contrats dommages) et à maîtriser au mieux le risque de cumul en étant attentif au montant des garanties délivrées.
Hiscox France est aussi spécialisé sur les TPE et PME de moins de 50 M€ de CA, contre 100 M€ auparavant, pour « atomiser le risque ». La startup Stoïk est entrée sur le marché cyber en 2021. Elle vise les PME et rembourse jusqu’à 1 million d’euros de frais suite à une attaque. La souscription se fait sur questionnaire et scan de vulnérabilité, développé par Stoïk en open source. L’entreprise peut ensuite obtenir son devis en ligne. Selon Jules Veyrat, son fondateur, « il y a un écart entre le niveau de risque et le niveau de conscience des risques des PME, sous-équipées. Avec un budget de 5 000 euros pour s’équiper de solutions de sécurité et 1 500 euros d’assurance par an, une PME peut limiter les risques. Une centaine d’entreprises ont souscrit chez nous, de la TPE à notre cœur de cible, l’entreprise qui réalise de 1 à 25 M€ de CA. »
De plus en plus d’expertise et de services
Courtiers et assureurs ont gagné en compétences et services, développant leur écosystème de partenaires. Le marché est largement intermédié, les courtiers jouent un grand rôle. Seules de petites entreprises sont en relation directe avec leur assureur. Les courtiers évaluent la gouvernance de la cybersécurité et l’exposition métier du prospect avant de présenter le dossier. Ils assistent leurs clients lors des incidents, parfois y compris sur la communication de crise, comme Bessé. Verspieren propose une offre de simulation de ransomware avec son partenaire Holiseum permettant de voir les chemins de compromission, les actifs attaquables et les vulnérabilités.
De nombreux assureurs développent des services de prévention et d’assistance en cas d’incident de plus en plus poussés. Certains ont même des négociateurs. QBE se veut partenaire de la gestion des risques de ses clients. Son partenaire Sysdream propose aux assurés de réaliser des tests d’intrusion pour détecter les vulnérabilités. Generali Protection Numérique est un produit d’assurance et de sensibilisation au risque visant les PME : modules de e-learning pour les collaborateurs, liste des experts cyber labellisés, et, depuis juillet 2022, un scan par trimestre des vulnérabilités aux résultats non communiqués à l’assureur. Hiscox offre des services de prévention et d’assistance, dont des formations en ligne. Stoïk s’appuie sur une dizaine de partenaires technologiques pour orienter les PME souhaitant s’équiper. Les services de Beazley comprennent un portail de gestion des risques (modèles de procédures à suivre, bonnes pratiques, rapports sur les tendances cyber…) des ateliers de simulation de crise en partenariat avec des cabinets spécialisés, un accès à une plate-forme partenaire permettant de tester ses employés face au phishing. Son chantier actuel est de mettre à disposition son expertise liée aux 30 000 incidents cyber qu’il a traités à travers le monde. Jad Nehmé, responsable des services cyber, Beazley, annonce : « Notre catalogue va s’enrichir de services de cybersécurité dans les mois à venir grâce à de nouveaux partenariats. » Luc Vignancour complète : « Nous donnons les moyens pour gérer la crise et ne pas forcément payer la rançon. Un négociateur spécialisé est à disposition en cas de crise pour gagner du temps, diminuer le montant de la rançon et faciliter la prise de décision de l’assuré. »
Le paiement de la rançon semble moins un sujet de controverse, même si certains refusent de l’assurer, comme Generali. La majorité des assureurs, notamment les anglo-saxons, l’indemnisent.
Payer la rançon, un non-sujet ?
« Le paiement de la rançon n’est en soi pas un sujet, puisque l’écrasante majorité des clients assurés ne paient pas la rançon, » constate Lari Lehtonen. Diego Sainz fait remarquer : « Une entreprise qui paie une rançon n’obtient parfois qu’une clé de déchiffrement partiel et doit en payer une seconde. Les entreprises qui paient sont celles qui sont mises au pied du mur. Nous conseillons d’agir urgemment pour circonscrire l’attaque et s’assurer que le SI reparte sur des bases saines. »
L’indemnisation du paiement de la rançon va être légalement encadrée. Le projet de loi d’orientation et de programmation du ministère de l’Intérieur du 16 mars 2022 et présenté le 7 septembre en Conseil des Ministres, prévoit que le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré est subordonné à la justification du dépôt d’une plainte de la victime au plus tard 48 heures après le paiement de cette rançon.
Un rapport de la direction générale du Trésor publié en septembre 2022 préconise de mieux mesurer le risque cyber, de renforcer la sensibilisation des entreprises, et d’améliorer le partage de risque entre assurés, assureurs et réassureurs. Une “task force” dédiée, associant les acteurs concernés doit être mise en place, pour que ces recommandations soient effectives rapidement.
Si l’Etat veut accélérer la mise en œuvre de mesures contre le risque cyber, assurer son risque cyber résiduel est néanmoins devenu un sujet compliqué dans les conditions de marché actuelles.
le Lloyd’s exclut les cyberattaques d’Etat
Le Lloyd’s of London a demandé à ses membres assureurs d’exclure à partir de mars 2023 la couverture des cyberattaques étatiques.
C’est dans un bulletin publié le 16 août dernier que l’organisation a indiqué vouloir que « toutes les polices autonomes contre les cyberattaques comprennent, sauf accord du Lloyd’s, une clause appropriée excluant la responsabilité pour les pertes résultant d’une cyberattaque soutenue par un État ».
Le marché de l’assurance britannique tient toujours à ce que soit fournie une couverture contre les attaques cyber, mais il souhaite que le périmètre soit revu et clarifié. Cette exclusion des risques liés aux cyberattaques étatiques devra « exclure les pertes découlant d’une guerre (déclarée ou non), lorsque la police ne comporte pas d’exclusion distincte pour la guerre », spécifie le bulletin. Par ailleurs, il souhaite la mise en œuvre d’un cadre robuste permettant « aux parties de convenir de la manière dont toute cyberattaque soutenue par un État sera attribuée à un ou plusieurs États ».
Les risques apparaissent trop “systémiques” pour rester dans la situation actuelle, alors qu’une cyberattaque étatique, de par son ampleur, pourrait paralyser les infrastructures critiques du pays ciblé. « Les pertes peuvent dépasser largement ce que le marché de l’assurance est capable d’absorber. » Le conflit entre l’Ukraine et la Russie n’est sans doute pas étranger à ces nouvelles exigences. Il a remis ce risque sur le devant de la scène.
Il est prévu que ces exigences prennent effet en mars 2023, à l’entrée en vigueur ou au renouvellement de chaque police.
Les assureurs autres que ceux du Lloyds et plus généralement les assureurs français et européens suivront-ils la même route ? Quelle que soit la réponse, une seule solution : les entreprises devront s’appuyer sur une cybersécurité plus forte. JP