L’assurance, par la prise en charge de risques non supportés par les agents économiques, a toujours été un formidable levier de croissance lors des périodes de transition technologique. Saura-t-elle accompagner le développement de la numérisation de notre environnement social et économique ? Les réflexions et les actions menées par les assureurs au sein de la FFA ont pour objectif de relever ce défi. La connaissance, la quantification, la prévention et la pédagogie sont les quatre facteurs clés de succès pour que les cyber-risques soient correctement garantis en toute transparence vis-à-vis des assurés.

Les cyber-risques, qui menacent de manière continue l’ensemble des acteurs économiques en abrogeant les espaces-temps et les espaces géographiques, s’inscrivent dans des démarches d’espionnage, de guerre économique, de déstabilisation politique et de malveillance. Toutes les évolutions de l’environnement socioéconomique qui s’opèrent via des outils numériques et des transferts de données numérisées fournissent de nouvelles opportunités aux cyberattaquants.

La crise en cours liée à la pandémie de Covid-19 vient illustrer cette adaptabilité des attaquants. Ces derniers ont su profiter de cette crise pour :

  • répandre de nouveaux logiciels malveillants liés à la prévention contre ce virus1;
  • se servir des connexions à distance, liées au développement du télétravail, pour mieux attaquer les entreprises ;
  • perpétrer des actes d’espionnage contre les laboratoires de recherche de vaccins2.

Ainsi, selon Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi)3 : « Le risque cyber est inhérent à notre société, il a un caractère global et fait peser sur notre économie la menace d’un Pearl Harbor informatique. »

Deux décennies de menace : rappel des faits

La prise de conscience de ce risque a émergé aux États-Unis au début des années 2000. Melissa en 1999 et I Love You en 2000, premiers virus de masse, ont infecté des millions d’ordinateurs via la pièce jointe d’un courriel.

Le 1er juillet 2003, à la suite de la violation des données personnelles de fonctionnaires de l’État de Californie, une loi californienne a imposé aux organisations qui conservent des informations personnelles de tiers de prévenir ces derniers si la sécurité de leurs informations est compromise. Sous cette double contrainte, immatérielle et légale, les grandes entreprises et celles spécialisées dans le traitement des données ont sollicité le marché américain de l’assurance afin de lui transférer les conséquences dommageables de ces risques. Ce phénomène est apparu en France une dizaine d’années plus tard.

Au printemps 2017, les attaques WannaCry et NotPetya ont démontré toute l’étendue et la force de ces nouveaux types de menace. Le ver NotPetya, après son apparition en Ukraine, s’est propagé à l’ensemble de la planète en quelques heures en causant d’importants dommages à de nombreuses multinationales, à l’exemple du transporteur Maersk (300 M$ de dommages), de l’entreprise pharmaceutique Merck (870 M$) ou du constructeur français Saint-Gobain (384 M$)4. Selon une évaluation de la Maison Blanche5, le coût des dommages de cette attaque s’élèverait à plusieurs milliards de dollars.

Et pourtant, malgré les enjeux majeurs auxquels elles doivent faire face, les entreprises et plus particulièrement les TPE/PME n’ont pas encore toutes conscience de la menace. Par ailleurs, la réponse du marché de l’assurance cyber n’est pas encore pleinement mature.

Assurance cyber : état du marché français

En 2018, le marché de l’assurance cyber représentait en France 80 M€6, 295 M€ en Europe7 et 3 220 M€ aux États-Unis8. Ces montants rapportés à l’encaissement total des primes non vie en France et aux États-Unis permettent d’espérer une importante marge de progression pour le marché français. En effet, ce ratio est de 0,16 % pour la France et de 0,56 % pour les États-Unis. Cette progression attendue du marché s’est concrétisée au niveau européen entre 2017 et 20189 par une augmentation de plus de 71 % des primes cyber.

Au niveau français, les derniers chiffres issus de l’enquête annuelle de la FFA démontrent une importante progression du marché de l’assurance cyber. En 2019, ce dernier représente un encaissement de 105 M€10, soit une progression de plus de 21 % par rapport à 201811, et ce à périmètre constant.

Néanmoins, le développement du marché de l’assurance cyber se heurte encore à de nombreux freins. Dans un premier temps, les assureurs ont réalisé un important travail de compréhension de ces risques : quelles techniques, quels modes opératoires… Afin de comprendre ce nouvel univers, ils ont noué des partenariats avec des spécialistes des risques informatiques. Dans le même temps, ils ont adapté leurs contrats afin de répondre au mieux aux sollicitations de leurs clients. L’ensemble des assureurs intervenant sur le marché des risques d’entreprise proposent désormais des contrats adaptés à la couverture des risques cyber. Mais cette première réponse aux sollicitations du marché n’est pas suffisante.

Clarifier l’offre de couverture entre assureurs

Elle doit désormais s’accompagner d’un travail d’harmonisation des définitions afin que les assurés disposent d’une vision d’ensemble cohérente des couvertures délivrées par tous les assureurs. Cette compréhension du risque requiert également une maîtrise de l’environnement juridique.

En mai 2018, le règlement général sur la protection des données (RGPD) et la directive Network and Information System Security (NIS) ont été transposés en droit français. Au titre du RGPD, la Cnil peut sanctionner financièrement les entreprises n’ayant pas respecté les dispositions de cette directive.

Avec le développement des rançongiciels, une clarification de l’assurabilité des amendes administratives est nécessaire pour établir une saine concurrence entre assureurs. Au-delà de la question morale de savoir si un assureur peut couvrir les conséquences financières du non-respect d’une réglementation par son assuré, la question reste encore posée au niveau du droit. Ni la doctrine, ni la jurisprudence, ni la loi n’ont tranché ce sujet.

Une fois le risque correctement analysé, les assureurs ont développé des outils de prévention et des mesures d’accompagnement spécifiques à ce risque afin de prévenir une attaque et de réduire les conséquences dommageables d’une attaque réussie.

L’analyse de l’exposition de l’assuré au risque cyber, la mise en place concertée de mesures de prévention et de protection adaptées, la mise à disposition d’outils de gestion de crise et de recherche de cause du dommage sont désormais des services proposés quasi systématiquement par les assureurs.

Échanger avec les acteurs spécialisés et la recherche

Les assureurs seuls ne peuvent appréhender l’ensemble des problématiques posées par les risques cyber. Les assureurs ont ainsi noué des échanges constructifs avec l’Anssi et le GIP Acyma12, lequel, par l’intermédiaire de sa plateforme Cybermalveillance.gouv.fr, développe de nombreuses actions en matière de pédagogie sur le risque cyber, d’information des victimes d’attaques et de qualification des prestataires informatiques. Ainsi, le 20 mai 2020, Cybermalveillance.gouv.fr a lancé le label ExpertCyber, destiné à valoriser les professionnels en sécurité numérique ayant démontré un niveau d’expertise technique et de transparence dans les domaines de l’assistance et de l’accompagnement de leurs clients. Cybermalveillance.gouv.fr a également pour objectif de développer un observatoire du risque cyber en France.

Ces échanges ont également lieu avec le monde universitaire, et plus particulièrement avec l’institut de recherche technologique (IRT) System X13, mais aussi avec les représentants des entreprises comme l’Association pour le management des risques et des assurances de l’entreprise (Amrae). Ces échanges se traduisent également en actions de promotion et de pédagogie de l’assurance cyber.

L’ensemble des assureurs ainsi que la FFA ont réalisé des plaquettes à vocation pédagogique. La FFA a également participé à la rédaction de publications à vocation plus scientifique, notamment le rapport du Club des juristes « Assurer le risque cyber » paru en janvier 2018, mais également aux trois rapports de l’IRT System X14.

Maîtriser le cumul des engagements

Pour que la cyberassurance connaisse une véritable dynamique, il demeure un enjeu majeur à lever pour les assureurs et réassureurs : la maîtrise du cumul de leurs engagements mobilisés à la suite d’une attaque cyber. Des facteurs économiques, informatiques et assurantiels tendent à caractériser le risque cyber comme systémique :

  • l’accélération de la numérisation tant de l’économie que des échanges interpersonnels accroît la surface d’attaque informatique ;
  • la mondialisation de l’économie entraîne une interdépendance verticale (maison mère, filiale, succursale) et horizontale (chaîne d’approvisionnement) des systèmes d’information des acteurs économiques ;
  • la concentration des fabricants et prestataires de services informatiques génère une multiplication du même matériel et des mêmes logiciels à travers le monde ;
  • le développement du cloud par de très rares acteurs démultiplie la problématique de la concentration des données ;
  • la diversité des attaquants (États, mafias, concurrents, hacktivistes, salariés, opportunistes) et des moyens d’attaque (facilement accessibles sur le Darkweb) multiplient de manière exponentielle le nombre d’incidents ;
  • le cumul de couvertures d’un même fait générateur cyber par plusieurs contrats d’assurance (silent covers ou « couvertures non affirmatives ») accroît l’engagement maximum possible des assureurs et donc des réassureurs.

Pour atténuer le caractère systémique de ce risque des solutions existent ; certaines sont du ressort des assureurs. Ainsi, en matière assurantielle, le point concernant le cumul des couvertures mérite d’être explicité : un fait générateur cyber peut mobiliser des garanties au sein de contrats différents tels les contrats de dommages aux biens, de responsabilité civile (RC) et ceux dédiés au cyber sans que l’assureur ou les assureurs concernés en aient une connaissance préalable.

En l’absence de cette prise de conscience, les assureurs n’ont pu appeler les primes correspondantes au risque transféré, et leurs traités de réassurance ne sont pas nécessairement adaptés à la réalité de leurs engagements.

La communauté des assureurs est favorable à une clarification des engagements des contrats d’assurance RC, dommages et cyber.

Les autorités de contrôle nationales, Autorité de contrôle prudentiel et de résolution (ACPR) en France et Prudential Regulation Authority (PRA) au Royaume-Uni, ainsi que l’European Insurance and Occupational Pensions Authority (Eiopa) au niveau européen se préoccupent également de ce sujet en l’incluant dans les contrôles qu’elles réalisent auprès des assureurs.

Cette réflexion vient également d’être engagée du côté de l’Association internationale des contrôleurs d’assurance (IAIS15) avec comme objectif d’identifier les domaines où son action serait utile pour assurer la résilience du secteur de l’assurance.

Consolider les données pour adapter la tarification

La structuration en cours du marché de l’assurance cyber doit également s’accompagner d’une consolidation des données afférentes à ce risque pour en acquérir une juste appréciation conduisant à une tarification adaptée, à l’instar de celle dont disposent les assureurs des risques industriels en matière d’incendie.

Le partage des informations, dans la limite du respect du droit de la concurrence, est, concernant ce marché en cours de maturité, une opportunité pour tous. Aux États-Unis, la National Association of Insurance Commissioners (NAIC) impose aux assureurs dans le cadre de leur contrôle annuel un tableau de reporting spécifique pour le risque cyber.

Une bonne gestion des sinistres fait partie intégrante de la maîtrise de l’ensemble de la chaîne de valeur de la cyberassurance. Tant les services d’indemnisation des entreprises d’assurance que les experts d’assurance doivent apprendre à mieux connaître les implications de ce risque en matière de bon règlement des dommages.

Le rôle des experts est essentiel. Leurs missions d’identification des biens endommagés, détruits ou volés, de détermination des circonstances du sinistre et de recherche des causes de celui-ci, de chiffrement des dommages et de préconisation de mesures conservatoires permettront à l’assurance cyber d’acquérir la crédibilité nécessaire à sa pérennité.

En peu d’années, face à ce nouveau risque, les assureurs ont accompli un important travail pour apporter des réponses adaptées et accompagner au mieux leurs assurés. Un long chemin reste encore à parcourir. Tous les acteurs, privés et publics, doivent avoir conscience qu’un marché de l’assurance correctement structuré est un des facteurs clés de la réussite de la transformation numérique de notre économie.

Notes

  1. Parmi les 726 536 269 attaques que l’entreprise Kaspersky a bloquées sur les trois premiers mois de l’année 2020, une grande majorité était liée à l’exploitation de la pandémie de Covid-19. C’est notamment le cas du cheval de Troie bancaire Ginp, renommé Coronavirus Finder. Vendue 0,75 euro, cette prétendue application est supposée indiquer les personnes infectées proches de l’utilisateur. Et comme le logiciel malveillant reste sur l’appareil, il peut également intercepter les données confidentielles. Voir le rapport de Kaspersky “IT Threat Evolution Q1 2020. Statistics”, 20 mai 2020. https://securelist.com/it-threat-evolution-q1-2020-statistics/96959/
  2. Harry Cole, “Kremlin-linked Cyber Hackers Steal Hundreds of Medical Trial Records from British Coronavirus Lab”, dailymail.co.uk, 9 mai 2020. https://www.dailymail.co.uk/news/article-8304095/Kremlin-linked-cyber-hackers-steal-hundreds-medical-trial-records-British-coronavirus-lab.html
  3. Discours prononcé à l’occasion des dix ans de l’Anssi, juin 2019.
  4. Andy Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History”, wired.com, 22 août 2018. https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
  5. “The Cost of Malicious Cyber Activity to the US Economy”, Council of Economic Adviser, février 2018, p. 4. https://www.whitehouse.gov/wp-content/uploads/2018/03/The-Cost-of-Malicious-Cyber-Activity-to-the-U.S.-Economy.pdf
  6. Enquête annuelle de la FFA sur l’assurance cyber, avril 2019.
  7. Rapport de l’Eiopa “Cyber Risks for Insurers: Challenges and Opportunities”, septembre 2019.
  8. Rapport annuel de la National Association of Insurance Commissioners (NAIC) – homologue américain de l’ACPR –, septembre 2019.
  9. Rapport de l’Eiopa, op. cit.
  10. Enquête annuelle de la FFA sur l’assurance cyber, mai 2020.
  11. À périmètre constant et en intégrant une réévaluation du chiffre d’affaires 2018.
  12. GIP Acyma : groupement d’intérêt public en charge du dispositif national d’assistance aux victimes d’actes de cybermalveillance dont la FFA est membre fondateur. Cybermalveillance.gouv.fr est la plateforme gérée par le GIP Acyma, qui assure une mission de sensibilisation, de prévention et d’assistance en matière de sécurité du numérique auprès du grand public, des TPE/PME/ETI et des collectivités territoriales. La plateforme assiste les victimes d’actes de cybermalveillance, notamment en les mettant en relation avec des prestataires de services informatiques et de remédiation proches.
  13. System X est l’un des huit instituts de recherche technologique créés par le gouvernement en 2014 pour renforcer la compétitivité par la recherche industrielle dans des filières technologiques stratégiques.
  14. https://www.irt-systemx.fr/wp-content/uploads/2019/01/ISX-EIC-transfert-risque-an2.pdf ; https://www.irt-systemx.fr/wp-content/uploads/2016/11/ISX-IC-EIC-transfert-risque-LIV-0401-v10_2016-10-25.pdf ; https://www.irt-systemx.fr/wp-content/uploads/2019/06/ISX-IC-EIC-transfert-risque-an3-fr-eng.pdf
  15. International Association of Insurance Supervisors.