[Gestion des risques] Les primes d'assurance "cyber" vont-elles augmenter?
Avec la recrudescence des cyber-attaques depuis 6 mois, n'épargnant pas des systèmes sensés être les mieux protégés (gouvernements, multinationales, hôpitaux...), les primes sont reparties à la hausse, pour tous les secteurs d'activité, depuis le début de l'année.
Je m'abonneLes récentes cyber-attaques avec le virus rançongiciel "Wannacry" qui a affecté 200 000 ordinateurs d'entreprise en quelques jours à peine, sont malheureusement une nouvelle fois, la meilleure publicité pour les éditeurs d'antivirus et les assureurs des risques cyber.
Les assureurs n'avaient pas besoin de ce buzz supplémentaire pour développer la souscription de leurs polices de cyberassurance. Ce type de contrat a déjà connu un taux de croissance de 50 % en 2016, après déjà plusieurs années de forte demande de la part des entreprises.
Le marché mondial de la cyberassurance est de 3,5 milliards de dollars, et on s'attend à un volume de prime entre 8,5 et 10 millards de dollars d'ici à 2020. Le potentiel de hausse est particulièrement élevé en France, car le taux de souscription des PME est encore inférieur à 8 %, avec 50 millions d'euros de primes seulement en 2016 selon la Fédération française de l'assurance. Les PME sont pourtant très nombreuses à être affectées par les virus et autres rançongiciels, car leurs défenses sont moins efficaces que celle des grands groupes qui disposent souvent d'une équipe et d'un budget sécurité dédiés.
Un effet accélérateur attendu proviendra de la nouvelle règlementation européenne qui entrera en vigueur le 24 mai 2018. Le Règlement général sur la protection des données, dit RGPD du 267 avril 2016 exige des entreprises de notifier à leurs clients les attaques cyber dont elles sont victimes, sous peine d'une amende pouvant atteindre 4 % du chiffre d'affaires.
Lire aussi : MASTERfleet, la location de machines Würth
Pour les entreprises et les organisations, une cyber-attaque peut entraîner des dommages matériels (destruction de matériels et de données, frais expertise) et immatériels considérables (responsabilité liée à la divulgation de données, perte d'exploitation, fraude et extorsion, atteinte à la réputation...).
Certains secteurs semblent plus affectés que d'autres, comme les activités commerciales en ligne, les organismes de soins médicaux, le secteur bancaire et, plus généralement, toutes les entreprises et organisations enregistrant en ligne les données personnelles de leurs clients.
Offre d'assurance en hausse et conséquences sur les cotisations d'assurance
Les assureurs sont de plus en plus nombreux à proposer des couvertures, pour couvrir tout ou partie de ces risques. Le marché est loin d'être mature. Il faut bien examiner les garanties proposées, et leur portée réelle, les exclusions étant encore nombreuses pour les assureurs moins expérimentés dans ce domaine.
Du fait de l'arrivée de nouveaux entrants sur le marché, et de la hausse de la capacité financière disponible, les cotisations ont diminué en 2014 et 2015, elles se sont stabilisées en 2016, avec néanmoins la réapparition systématique des questionnaires de souscription pour permettre aux assureurs d'évaluer la qualité des risques.
Avec la recrudescence des cyber attaques depuis 6 mois, n'épargnant pas des systèmes sensés être les mieux protégés (gouvernements, multinationales, hôpitaux...), les primes sont reparties à la hausse, pour tous les secteurs d'activité, depuis le début de l'année.
Le coût de la garantie cyber extorsion
Beaucoup de contrats ne couvrent pas les rançons, mais ce risque demeure assurable, sous certaines conditions, et cette disposition contractuelle augmente le coût des indemnisations des assureurs. On peut craindre que cette garantie soit plus difficilement accessible, et que les assureurs exigeront des mesures de sécurité de plus en plus drastiques (firewall, sandbox, gestion des mots de passe, sensibilisation du personnel).
Les primes vont nécessairement augmenter du fait de la recrudescence des réclamations liées à des cyber-extorsions et demandes de rançons. Ces garanties représentaient 5 % du montant des indemnités en 2015, 16 % en 2016, elles sont au-delà de 25 % depuis le début de l'année. Il y aura donc nécessairement un impact sur les cotisations.
Les assureurs augmentent leurs franchises, et les primes pour des montants de garantie plus élevés. Il est désormais difficile de s'assurer au-delà de 50 millions d'euros de couverture, des montants encore insuffisants pour les grandes entreprises susceptibles de devoir affronter des réclamations de grande ampleur.
Les PME peuvent encore facilement trouver des couvertures à partir de 1 ou 2 millions d'euros de garantie, et pouvant atteindre 10 ou 15 millions d'euros, ce qui offre déjà une couverture intéressante, d'autant que les assureurs offrent également un panel de services de gestion de crise (experts informatiques, media, avocats). Avec 80 % des PME victimes d'une tentative de cyber-attaque en 2016, nul doute que le taux de souscription des contrats cyberassurance progressera encore en 2017, pour peu que les assureurs parviennent à maintenir des tarifs raisonnables.
Pour les entreprises particulièrement exposées, c'est le moment de demander une proposition d'assurance.
Par Benoît de Fontenay, directeur associé Euklead - expert assurances. Benoît de Fontenay est aussi responsable de la formation des assurances à l'IMR (Kedge Business School)