La gendarmerie nationale va-t-elle devenir l'épicentre de la lutte contre les risques de cybercriminalité qui pèsent sur les entreprises en France ? Ce mardi soir, au siège des militaires, sa division ComCyberGend, active depuis août 2021, a signé un partenariat avec la Fédération française de l'assurance (FFA) et la Fédération nationale des syndicats d'agents généraux d'assurance (Agéa) pour lutter contre cette menace qui explose.

« Avec 7.000 cyber-gendarmes et 12.000 agents généraux au plus proches du terrain, ce partenariat aura une force de frappe intéressante pour faire remonter des informations, diffuser les mesures de prévention et expliquer auprès des entreprises les gestes barrières en termes de cybersécurité », souligne Pascal Chapelon, président de l'Agea.

Cet accord vise deux objectifs : sensibiliser les entreprises, encore trop démunies face à cette menace et accélérer la formation des agents généraux sur ce risque « nouveau » afin de permettre le développement d'un marché de l'assurance cyber, pour l'heure, toujours émergent.

Pourtant, selon le dernier baromètre des risques futurs d'AXA, le risque cyber est revenu en deuxième position des préoccupations (première place aux Etats-Unis) à la fois auprès d'un panel de 3.500 experts, mais aussi de l'opinion publique (près de 20.000 personnes interrogés).

« C'est une tendance de fond. Le confinement a accentué la digitalisation de l'économie, et du coup le risque cyber », constate Frédéric de Courtois, directeur général adjoint d'AXA, à l'occasion de la présentation du baromètre.

Sur le risque cyber, l'équation assurancielle reste compliquée à résoudre avec un risque en augmentation croissante (qui peut même devenir systémique) et une couverture encore largement insuffisante, compte tenu à la fois d'une demande des entreprises encore balbutiante et d'une offre à des prix acceptables toujours limitée. De fait, le marché du risque cyber est structurellement déficitaire et par conséquent en manque de capacités.

« Il faut donc que la demande augmente pour que l'offre soit suffisante. Ou que l'offre soit suffisante pour susciter la demande... Il y a urgence à sortir de ce cercle vicieux », avait, de son côté, résumé l'association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE), dans une étude publiée en mai 2021.

0,0026 % des PME couvertes

Les chiffres éclairent cette réalité : « les cyberattaques létales demeurent le principal risque » pour les entreprises, avec un score de 4/5 pour la probabilité d'occurrence et de 4.3/5 pour l'impact, relève le rapport 2021 de la Fédération française de l'assurance (FFA).

En France la Gendarmerie nationale a ouvert 101.000 procédures en 2020 à cause d'attaques aux rançongiciels - l'une des composantes des cyberattaques, soit une augmentation de 21% en un an. En 2021, elle anticipe plus de 120.000 plaintes. 46% des victimes sont des PME, 21% des TPE, 14% des administrations, 9% des grandes entreprises et 7% des particuliers.

Or, face à ces menaces, seulement 8% des 5.762 ETI françaises (entre 50 millions et 1,5 milliard d'euros de chiffre d'affaires) ont souscrit un contrat d'assurance pour se couvrir de ce risque.

Le constat est alarmant pour les PME : seulement... 0,0026 % (362 des 140.000 entreprises) sont actuellement couvertes par une garantie cyber. Seuls les grands groupes ont pris conscience du danger : 87% d'entre eux disposent d'une assurance spécifique.

Côté assureurs, le bilan n'est guère plus optimiste : selon une étude de l'Agea, sur les douze assureurs dotés d'un réseau d'agents généraux et ayant une activité dans le risque d'entreprise (IARD), seuls huit d'entre eux proposent des produits cyber. Cinq réseaux d'agents généraux ont une solution propre au catalogue et les trois autres réseaux proposent une solution déléguée.

Un ratio combiné qui explose

Cette tension sur le marché se ressent sur le ratio combiné (sinistres sur primes). Si le volume de primes a augmenté de 49% en 2020 (à 130 millions d'euros), le montant des indemnisations versées, a, lui, été multiplié par 3 (à 217 millions d'euros en 2020), soit un ratio combiné qui est passé de 84 % en 2019 à 167 % en 2020.

« Vu les ratios, ça ne va pas pouvoir continuer comme ça : soit les cotisations vont augmenter, soit les assureurs vont instaurer des plafonds et renforcer les exclusions », prédit un agent général d'Axa France, qui a souscrit trois contrats dans son agence. « Pour autant la nécessité de protéger les entreprises est plus que jamais cruciale », explique Marc Bothorel, expert cybersécurité à la CPME.

De fait, le marché de l'assurance cyber a toutes les caractéristiques du marché émergent, en particulier un manque de données crucial sur les taux de couverture et la sinistralité. « Tout risque nouveau nécessite un temps d'acclimatation. Les assureurs aiment bien avoir un peu de recul. Cela permet d'établir une tarification future. Il ne s'agit pas de sortir un contrat avec des primes qui, demain, seront invendables. Il s'agit surtout de proposer une prime qui va équilibrer les risques », reconnaît Pascal Chapelon, de l'Agéa.

Résultat : les primes et les franchises augmentent et les garanties s'amenuisent. « Le marché doit trouver son équilibre et il le retrouvera. Les assureurs sont finalement mieux préparés au risque cyber qu'ils ne l'étaient au risque pandémie », rassure pourtant Frédéric de Courtois.

Renforcement des conditions de souscription

Face à une mutualisation défaillante et des données encore limitées, les assureurs cherchent la solution pour trouver un modèle économique viable. « Si le risque cyber n'est pas à proprement parler non modélisable, il est difficile à quantifier et à modéliser, non seulement en raison de ce caractère endogène mais aussi, plus fondamentalement, en raison du manque de données et de sa nature très évolutive, qui limite notre capacité à l'évaluer prospectivement à partir de la seule observation de la sinistralité passée », nous avait confié Denis Kessler, président du réassureur Scor.

Pour Marc Bothorel, « l'une des thématiques importantes aujourd'hui est de définir un rating commun aux sociétés assurantielles calibrant l'assurabilité des clients. Il faut créer une base commune ».

Ce dernier appelle également à une réévaluation et à un renforcement des conditions de souscriptions. « Aujourd'hui, certains questionnaires des compagnies sont très légers : on demande seulement s'il y a un antivirus, un pare-feu, un système de stockage de données. Sans compter que certains dirigeants ne sont pas acculturés à ces enjeux numériques. Renforcer l'audit réel est une piste à explorer ».

Selon un document interne consulté par La Tribune, seules huit questions sont posées par l'assureur d'une entreprise réalisant un chiffre d'affaires de moins de 50 millions d'euros, comme par exemple celle demandant si « les sauvegardes des données sont-testées une fois par an ou si la connexion au système d'information est-possible à distance ». L'audit apparaît dès lors très succinct.

La prévention, une condition clé

Car, l'élément clé, comme pour tout marché de l'assurance, reste la prévention et le comportement des entreprises face aux menaces cyber. Ce qui renvoie également à la formation même des assureurs, notamment des réseaux de distribution. « Mieux comprendre les risques, c'est déjà le début de la solution, pour les anticiper et les maîtriser », résume Frédéric de Courtois.

C'est tout l'enjeu de ce partenariat entre des experts de la gendarmerie, les assureurs et les distributeurs d'assurances. Dans le cadre de cet accord, les assureurs et les gendarmes s'engagent à mieux sensibiliser les agents généraux sur le risque cyber et leur permettre ainsi de mieux diffuser auprès de leurs clients, TPE-PME, des conseils de prévention de base pour se prémunir des attaques.

« La prévention jouera toujours un rôle essentiel pour permettre de proposer des assurances à des prix acceptables », insiste Frédéric de Courtois en pointant l'impact du contrôle technique des véhicules sur l'assurance automobile ou celui des dispositifs anti-incendie.

Appel à des partenariats public privé

Si le caractère systémique du risque cyber (panne généralisée de plusieurs milliers d'entreprises) n'a pas (encore) été constaté à ce jour, les assureurs prennent la menace au sérieux. Déjà des menaces se sont fait jour, comme l'attaque informatique dont a été victime le gestionnaire de l'oléoduc Colonial Pipeline aux Etats-Unis.

« Nous pensons qu'il est possible qu'une attaque puisse tout bloquer et nous ne savons pas encore estimer un tel risque », avance Frédéric de Courtois. Mais, précise le dirigeant d'AXA, « dans cette hypothèse, la seule solution passe par un partenariat public-privé », à l'image de ce qui se fait en France sur les catastrophes naturelles, « le meilleur système du monde ».

La récente refonte du système d'assurance sur les récoltes repose également sur un partenariat public-privé, avec une intervention de l'Etat lorsque le niveau de risque atteint un niveau tel qui pourrait compromettre la solvabilité des assureurs. D'où la nécessité, non seulement de multiplier ce type de partenariats sur les risques systémiques, mais aussi, « d'imaginer de nouvelles méthodes de coopération internationales », ajoute Frédéric de Courtois.

Le débat sur les cyber-rançons

Reste également à définir le périmètre des couvertures des contrats. La polémique des contrats pertes d'exploitation pendant la pandémie est encore dans les mémoires. La tendance est aujourd'hui de « sortir » la couverture du risque cyber des conditions générales des contrats pour mieux définir le risque, et par conséquent, mieux organiser le marché de l'assurance cyber. C'est également une demande de plus en forte des régulateurs.

Sur le champ de la couverture se pose notamment la question du paiement des cyber-rançons, « un sujet complexe », reconnaît Frédéric de Courtois. En mai dernier, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a accusé certains assureurs d'encourager les cyberattaques en prenant parfois en charge le paiement des rançons. Selon l'Agéa, en 2021, cinq compagnies d'assurance proposaient de payer les sommes demandées par les hackeurs pour débloquer les données des entreprises. Axa, qui proposait de facto cette garantie dans ses contrats cyber, a fait machine arrière en mai dernier.

Un contrat signé début 2021 auprès d'un grand assureur de la place, que s'est procuré La Tribune, précise ainsi les conditions d'indemnisation pour une entreprise de BTP réalisant 10 millions de chiffre d'affaires. Le contrat, amendé depuis, couvre à hauteur de 750.000 euros les préjudices liées à une cyber-attaque (pour une prime annuelle de 1.400 euros), avec une couverture beaucoup plus limitée en cas de rançon (375.000 euros).

Pour la députée LREM Valeria Faure-Muntian, « le paiement des rançons crée un appel d'air et encourage le crime ». Avis partagé par Marc Bothorel, de la CPME : « les entreprises qui paient les rançons apparaissent comme solvables par les hackers avec un risque réel d'une nouvelle attaque ».

Une assurance obligatoire ?

Un agent général revient au b.a.-ba du métier : « c'est la victime qu'un assureur doit indemniser, et non pas la personne qui réalise un dommage ». Mais tout le secteur ne semble pas être sur la même longueur d'onde. « Dire brutalement 'on ne paie pas', ce n'est pas la bonne solution. Je défends plutôt un encadrement plus strict de la garantie », tranche Pascal Chapelon. « Si on ne le fait pas, des compagnies étrangères n'hésiteront pas à le proposer à nos clients français », ajoute-t-il.

Selon plusieurs experts, au regard du risque systémique que font peser les cyberattaques sur les entreprises, une obligation de souscription à un contrat pourrait même s'imposer comme une obligation, y compris pour les TPE. Une piste qui serait sérieusement étudiée par Bercy, qui a lancé une consultation sur la cyber-assurance menée par la direction du Trésor. Le sujet est même sur la table dans la proposition de directive européenne NIS 2, actuellement en discussion, qui vise à renforcer la sécurité numérique des entreprises.

« C'est hors de propos - pour une question de trésorerie ou de bande passante - pour les TPE, », estime Marc Bothorel. « Laissons aux entreprises la possibilité de se prendre en charge ! ».