L’année 2020 a été le point d’inflexion du marché de l’assurance cyber en France et dans le monde. En France, l’intensification de la fréquence et de la sévérité des attaques Cyber s’est poursuivie de manière exponentielle quels que soient les secteurs d’activité. C’est plus d’une centaine d’entreprises qui ont été victimes d’une attaque de type rançongiciel au cours de l’année 2020 avec une tendance qui s’est poursuivie au premier semestre 2021.
Le marché de l’assurance cyber en France est déficitaire ainsi qu’en atteste le ratio Sinistre sur Prime (S/P) qui est passé de 87% à 172%1. Face à ce ratio qui s’est fortement dégradé, le marché a réagi en actionnant 3 principaux leviers :
Cette tendance continue de se refléter sur la stratégie des assureurs, avec une altération continue de l’offre notamment liée aux attaques de type rançongiciel. Après avoir procédé à la réduction des capacités et à l’augmentation des franchises, les assureurs se sont penchés sur les modes opératoires ayant entrainé la dégradation de leur ratio technique sur la branche cyber. Le ransomware est devenu le cauchemar à la fois des clients et des assureurs. Pour mieux gérer leurs expositions et en tenant compte de leur niveau de perte, la décision des assureurs est maintenant de sous limiter les garanties accordées à la suite d’un ransomware et de partager les pertes avec l’assuré en introduisant une clause de co-assurance au sein des contrats. Cette nouvelle politique traduit la volonté des assureurs de responsabiliser les clients dans la gestion de leur risque en plus de l’application de la franchise qui devra être supportée par le client.
Face à cette montée en puissance des attaques cyber qui peuvent avoir un effet dévastateur pour une société, les entreprises cherchent à s’assurer ce qui n’était pas un automatisme il y a encore quelques années. Les assureurs continuent de réduire leurs offres de couverture en appliquant des prix jugés parfois abusifs, situation qui n’est pas acceptée par les clients qui décident dans certains cas de réduire la limite de garantie souscrite initialement ou tout simplement de ne plus acheter d’assurance. Dans ce contexte du marché de l’assurance Cyber, la loi de l’offre et de la demande peine à s’équilibrer rendant complexe le renouvellement des programmes d’assurance cyber et la mise en place de nouvelles polices.
Le durcissement du marché s’accompagne également par un processus de souscription qui devient de plus en plus long et fastidieux du fait de questionnaires de souscription très denses en terme de questions et parfois différents d’un assureur à l’autre avec des exigences de mise en place de mesures jugées incohérentes avec le profil de risque de certains clients.
Au regard des procédures de souscription, les assureurs gagneraient à être plus pragmatiques dans leur analyse du risque cyber. La majorité des assureurs vont évaluer le risque cyber en développant leur propre grille d’analyse qui repose fréquemment sur la combinaison de plusieurs référentiels de sécurité comme NIST ou ISO 27001. Beaucoup de clients construisent leur politique de sécurité de système d’information en se basant sur ces référentiels. Toutefois, l’analyse du risque cyber devrait se corréler à une approche risk management plutôt qu’à une approche cartésienne dont l’objectif se limite parfois à cocher des cases. Il n’existe pas une seule stratégie en cyber sécurité. Les solutions organisationnelles et techniques déployées dans le cadre d’une politique de cyber sécurité par les assurés, doivent être mises en perspective avec les actifs immatériels et l’organisation de l’entreprise. Certains assureurs peuvent par exemple refuser de couvrir certaines entreprises en évoquant la raison d’une externalisation trop importante. Dans ce cas de figure, il est probable que l’assureur ne soit pas en mesure d’analyser le risque via son guide de souscription interne, à savoir cocher les cases lui permettant d’obtenir un scoring de risque, et ne prenne pas le temps de comprendre les raisons de cette externalisation. L’appréciation du risque cyber par les assureurs du marché est hétérogène et chaque assureur a sa propre démarche et ses propres outils (en incluant parfois des consultants Cyber internes ou externes) ce qui vient complexifier le processus de souscription. Elle est parfois jugée de manière robotique par les assurés et laissent peu de marge de manœuvre à la discussion.
Afin de faciliter l’évolution vers davantage d’accompagnement du marché de l’assurance, les assureurs devraient être plus transparents dans les critères d’appréciation du risque. Certains assureurs sont encore réticents à communiquer leur analyse au client pour des raisons parfois jugées floues. D’autres assureurs font l’effort d’accompagner les clients en émettant des recommandations visant à permettre leur assurabilité et augmenter leur maturité.
Notre rôle traditionnel de courtier se transforme afin d’apporter à nos clients des solutions techniques et organisationnelles en amont de la mise en place d’une police d’assurance cyber. Nous avons développé un guide de souscription permettant de sensibiliser nos clients sur les attentes en cyber sécurité du marché de l’assurance pour souscrire ou renouveler une police d’assurance cyber. Ainsi, nos clients ont la possibilité d’augmenter le niveau de maturité de leur politique en cyber sécurité IT/OT en faisant appel à nos consultants qui sont en mesure de leur offrir des prestations de conseils en cyber sécurité. L’objectif est de faciliter le placement ou le renouvellement de leur police d’assurance cyber en mettant l’accent sur les pré-requis des assureurs.
Depuis plusieurs mois, les assureurs ont introduit des outils de notation cyber (SecurityScorecard, Bitsight, Cyence, Kynd…) dans leur politique de souscription. Bien que ces outils aient montré leur efficacité dans certains cas permettant d’identifier des ports ouverts ou encore des vulnérabilités non corrigées, ils ont été également contre-productifs dans un processus de souscription de plus en plus fastidieux. Certains clients se sont vu refuser des propositions d’assurance car leur notation reflétait une gestion du risque cyber en dessous des standards attendus par les assureurs. D’autres clients se sont retrouvés sans solution à tort, car l’outil faisait apparaître des vulnérabilités sur des noms de domaines qui était reliés à ceux du client mais qui n’étaient pas sous son administration ou sous sa gestion, et ne faisaient tout simplement pas partie de son infrastructure. Ces différents cas soulèvent la pertinence de l’utilisation de ces outils et de l’usage efficient qui en est fait. Ce type d’outil devrait rester une base d’analyse et entrainer un échange avec les assurés plutôt qu’une souscription automatique se basant sur les résultats obtenus par l’outil.
La dissonance des standards existant entre ceux attendus par les assureurs et ceux mis en place par les entreprises devrait être corrigée afin de gagner en transparence et permettre aux entreprises de trouver des solutions de couverture. Le marché de l’assurance cyber gagnerait en maturité s’il s’accordait à avoir un seul référentiel d’analyse du risque permettant d’expliquer aux assurés les pré requis des assureurs. La complexité de la mise en place de ce référentiel s’expliquerait par le fait que le risque évolue constamment et qu’il faudra le mettre à jour régulièrement afin de répondre à l’état de la menace.
1 Etude Lucy 2021 réalise par l’Association des Métiers du Risque et de l’Assurance (AMRAE) avec le concourt de 8 grands courtiers
