La transformation digitale que nous vivons apporte autant d’opportunités que de défis. Un risque majeur concerne aujourd’hui tout le monde : la cybercriminalité. Et « la menace continue d’augmenter » selon Grégoire Lundi, Coordinateur sectoriel Finances à l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. Alors que les cyberattaques connaissent une croissance exponentielle – une tendance renforcée par la crise sanitaire – le secteur de l’assurance se retrouve en première ligne. Acteurs de terrain, les courtiers ont un rôle primordial à endosser pour protéger les entreprises, souvent encore immatures, contre ce risque nouveau. Mais ont-ils conscience de leur responsabilité ? Et quels défis doivent-ils adresser ? Nous avons mené l’enquête aux Journées du Courtage.
Beaucoup d’assureurs et de courtiers proposent aujourd’hui une couverture cyber. Mais ce n’est pas encore le cas de tout le monde, comme l’assurtech Acheel, récemment arrivée sur le marché, qui « ne peut pas tout faire » pour le moment. Ce risque est en effet particulièrement difficile à assurer. Premier problème, et non des moindres, la base de données disponibles est encore faible. Les assureurs ont peu de recul sur ce sujet puisque la cybercriminalité demeure un phénomène relativement récent. Et toutes les attaques ne sont pas forcément répertoriées, en particulier lorsqu’une rançon est payée par une entreprise attaquée.
De plus, il leur est difficile de s’y retrouver économiquement entre le montant des primes et la couverture du risque. Selon un rapport de l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), « l’assurance cyber n’a pas encore trouvé son équilibre : avec un taux de couverture des entreprises et un volume de primes encore trop limités, les assureurs ne parviennent pas à trouver les conditions de la mutualisation indispensable au règlement des sinistres de forte intensité. »
Les sinistres coûtent de plus en plus cher : en 2019, ils s’élevaient à 73 millions d’euros, et à 217 millions en 2020, soit une hausse d’environ 300%. Le ratio Sinistres sur Primes est ainsi passé de 84 % à 167 %.
Le risque cyber peut également être difficile à prévoir, malgré une bonne sensibilisation au sein d’une entreprise. En effet, la multiplication des appareils et logiciels rend la protection plus compliquée, surtout avec la démocratisation du télétravail dans le contexte de crise sanitaire.
Mais surtout, « le facteur humain est le maillon faible des attaques » explique Amanda Maréchal, Souscriptrice RC Professionnelle et Cyber chez QBE. La plupart des hackeurs parviennent ainsi à mettre la main sur les données d’une entreprise par le biais d’un seul employé. Tous ces éléments expliquent la difficulté de protéger efficacement les entreprises face au risque cyber, alors que ce besoin prend pour beaucoup un caractère impérieux, sinon vital.
« Aujourd’hui, il y a plus d’offre que de demande » selon Grégory Allard, Président de Filhet Allard & Cie. Alors que la plupart des grandes entreprises sont assurées contre le risque cyber (87 % d’entre elles), les ETI ne sont que 8 % à être couvertes. Pire encore, le taux de pénétration pour les PME et TPE n’est que de 0,0026 % ! Pourtant « tous les secteurs d’activité sont touchés, toutes les tailles d’entreprises », avertit Grégoire Lundi.
De plus, l’assurance cyber est un luxe que ne peuvent pas forcément se permettre les petites entreprises, qui se sentent parfois plus à l’abri que les grosses. Gare aux idées reçues, car 1 ETI sur 2 est attaquée ! En partie à cause des ransomwares – qui représentent environ 1 attaque sur 2, et sont en hausse selon Frédéric Grand, DG de Diot – les coûts des primes peuvent représenter un budget important.
Les tarifs des couvertures cyber ont flambé de 30 % entre 2020 et 2021 selon une enquête du courtier Howden. Chez le courtier grossiste + Simple, les demandes pour leurs offres cyber ont augmenté cette année, mais ils remarquent que les ventes restent difficiles à enclencher. En effet, même si les clients prennent conscience du risque, ils ont encore du mal à payer pour cette protection.
Pour Amanda Maréchal, « au début de nos offres cyber, les entreprises n’en voulaient pas ». Aujourd’hui, les structures qui n’étaient pas déjà assurées se rendent compte que c’est essentiel, mais la plupart des demandes sont refusées – environ 1 sur 2 – selon Grégory Allard. Pourquoi ? Parce qu’elles doivent respecter un certain nombre de clauses pour être assurés.
Et la grande majorité des PME n’ont pas pris en amont un minimum de mesures pour se protéger contre le risque cyber, ce qui représente un risque trop important pour les courtiers et assureurs. Pour Grégory Allard, il faudrait conditionner les garanties en fonction du niveau de maturité de l’entreprise. Face à cette situation pour le moins complexe, les courtiers et assureurs ont l’importante responsabilité d’accompagner les dirigeants afin de trouver les solutions idoines pour mieux les protéger.
Les courtiers ont un rôle primordial et multiple contre la cybercriminalité. En premier lieu, « le mot clé aujourd’hui, c’est la prévention. Un travail de pédagogie doit être fait auprès des courtiers et des clients », estime Amanda Maréchal. Et c’est un travail particulièrement difficile eu égard à la nouveauté du phénomène et à l’immaturité de l’écosystème face à ce dernier.
L’assureur américain Markel, qui vient de se lancer en France, l’a bien compris. Il cible ainsi ses offres cyber sur les petites structures et les créations d’entreprises. Mais il va encore plus loin. En effet, grâce à son partenariat bien pensé avec la startup Riot, Markel mise sur la prévention, en proposant à ses clients un compagnon cyber doté d’une IA pour sensibiliser et renforcer la sécurité informatique des entreprises et de leurs salariés.
Parlons maintenant d’un sujet au centre de tous les débats quand on évoque la cybercriminalité : le paiement des rançons. Solution supposée la plus simple et plus rapide, elle est pourtant vivement critiquée. Pour cause : elle entretiendrait la cybercriminalité, en créant un cercle vicieux poussant les hackeurs à continuer les attaques. Qu’en est-il exactement ? Les avis divergent dans le secteur. Frédéric Grand lui, considère par exemple que « la corrélation est plus entre la protection informatique et les attaques plutôt qu’avec les rançons ».
Pour Amanda Maréchal, c’est en revanche clair et net : « le fait de payer les rançons entretient la cybercriminalité ». Mais elle nuance le rôle des assureurs et courtiers, car ce ne sont souvent pas eux qui les payent directement, mais plutôt les entreprises non assurées. Sans aide ni prévention, elles ne peuvent pas faire face à une cyberattaque, et se retrouvent dans l’obligation de payer le prix fort.
Mais « ce n’est pas une solution miracle, car cela peut prendre parfois autant de temps de retrouver un fonctionnement normal que sans payer », précise Grégoire Lundi. On l’a compris, l’assurance est en plein questionnement. Alors si le paiement des rançons n’est pas la bonne solution, y en a-t-il pour mieux protéger les entreprises françaises ?
Le constat est implacable : les entreprises françaises sont toutes à risque face à la cybercriminalité, mais elles sont loin d’être suffisamment protégées. Alors, comment pallier cela ?
Pour Laura Tinturier de Markel, il faudrait que les courtiers et assureurs s’allient entre eux pour proposer des solutions communes. Frédéric Grand estime de son côté que l’État devrait se lier au secteur de l’assurance de façon temporaire, au moins pour laisser le temps aux entreprises de prendre les mesures pour rapidement se protéger. Autre proposition de la part de Grégory Allard : « il devrait y avoir des normes de base pour le cyber, comme pour les incendies. Pour cela il faudrait un rapprochement entre les assurances et les agences telles que l’ANSSI. C’est le meilleur moyen pour faire augmenter la maturité des PME. » Enfin, en prenant exemple sur les États-Unis où les hackeurs sont légalement considérés comme des terroristes – et donc de solides moyens sont déployés pour les contrer – Frédéric Grand pense que « l’Europe doit apporter une réponse face à ça. »
Autant de solutions possibles sur lesquelles le secteur de l’assurance doit rapidement trancher. Alors que les cyberattaques ne cessent d’augmenter – il y en a eu 4 fois plus cette année par rapport à l’an dernier selon l’ANSSI – les courtiers, détiennent incontestablement une partie de la réponse. Aux côtés de leurs clients, leur rôle sera prépondérant pour trouver les solutions face à une menace dont le caractère systémique s’impose un peu plus chaque jour.
