Les assurances cyber, un business myope

 |   |  1416  mots
(Crédits : Reuters)
ANALYSE. La nouveauté du risque cybernétique est un problème pour les entreprises et une nouvelle activité pour les compagnies d'assurance, la cyberassurance. Mais la particularité d'un tel risque et l'absence de données historiques posent un certain nombre de questions. Par Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles, et Emmanuel Michiels, Chief Risk Officer, Belfius Assurances.

77 % des entreprises actives dans la finance, les soins de santé et le commerce de détail avec un revenu supérieur à 1 milliards de dollars prennent aujourd'hui, semble-t-il, une cyberassurance. Ce pourcentage tombe à 5 % pour les petites et moyennes entreprises. Cette évolution ne date pas de hier. En 2017 déjà, le nombre de polices d'assurance cyber a grimpé de 24 % pour arriver à un volume de 2,6 millions. C'est beaucoup même si cette croissance est, pour partie, due à une requalification de polices existantes ou à des avenants à des contrats qui prennent en compte le risque cyber séparément de la police globale. Le nombre de demandes d'indemnisation a grimpé de 51 % entre 2016 et 2017 mais seuls 24 % d'entre elles ont été acceptées pour un montant moyen de 188.525 euros. On a de plus en plus d'entreprises qui souscrivent à une assurance pour des montants de plus en plus élevés mais ce produit répond-t-il vraiment à leurs attentes, à savoir leur espoir d'avoir un risque majeur suffisamment couvert.

La cyberassurance répond à un réel besoin des acteurs économiques, et les assureurs y voient l'opportunité d'élargir leurs champs d'activité naturels de protection. Ils peuvent d'ailleurs y jouer un rôle systémique important dans la gestion du cyberrisque. Mais nous n'en sommes pas encore là. Le secteur de la cyberassurance est risqué, en tout cas atypique. Voilà en effet qu'on veut assurer des risques pour lesquels on manque de données historiques, de méthodologie et d'une absence de partage d'information et de retour d'expérience. Il y a trois grands soucis méthodologiques à proposer des cyber assurances comme un produit standard : l'asymétrie de l'information, l'interdépendance entre acteurs qui subissent le cyberrisque et les pertes corrélées (ou risque d'accumulation). C'est la conclusion de l'agence de cybersécurité américaine dépendant du ministère de l'Intérieur qui s'est penchée sur le secteur de l'assurance cyber. Il n'y a aujourd'hui aucun modèle théorique qui puisse lier de manière précise l'entreprise qui veut souscrire à une assurance à sa posture de sécurité et aux menaces cyber qui pèsent contre elle et aux pertes potentielles auxquelles elle s'expose. Dans tout autre secteur, on peut au moins déterminer le niveau de risque par rapport à l'activité menée (selon que c'est une usine Seveso ou pas, que la zone est inondable ou non,...) mais en cyber, rien de tel n'existe.

Le manque de données historiques

Comparé aux autres risques à couvrir, les compagnies d'assurance n'ont qu'un historique de plus ou moins 7 ans de pertes dues à des incidents cyber. Les assurances cyber n'existent pas depuis longtemps ! Et encore, tous les types d'incidents cyber ne sont pas couverts par cet historique. Tous n'ont pas (encore) donné lieu à des pertes: c'est surtout l'historique des ransomwares, des malwares et du phishing qui existe : or, il y a bien d'autres menaces et chaque nouvelle technologie ou manière de faire apporte les siennes. Ces misérables 7 ans sont à comparer à la centaine d'années de données historiques sur d'autres risques naturels comme les inondations. Il y a aussi beaucoup d'évènements cyber qui n'ont pas donné lieu à des déclarations parce qu'ils n'ont pas été découverts ou révélés. De ce point de vue, les obligations réglementaires de rapporter des cyber incidents aux autorités résoudront en partie ce problème : il n'y aura plus le choix que de le faire savoir.

Verizon a observé une différence significative entre le nombre d'incidents rapportés par le secteur public et par le secteur privé où moins d'obligations (morales de transparence) ont cours : le facteur est d'un ordre 20 ce qui en dit long sur la culture du silence gêné qu'on peut comprendre mais ce n'est pas une bonne posture de cybersécurité. On hésite à rapporter un cyber incident, à demander de le couvrir car cela implique une enquête qui peut nuire à la réputation commerciale.

Même si on disposait des données historiques, explique l'agence américaine de cybersécurité, leur validité à long terme poserait question. Le caractère très changeant de la menace cyber (les pirates inventent de nouvelles techniques tous les jours et chaque technologie apporte son lot de vulnérabilités) rend l'utilité des données historiques douteuse. Et il est difficile de prédire l'évolution de la menace. Tout ceci est à comparer à d'autres risques comme les inondations dont le caractère et les conséquences ne changent pas : une inondation, c'est une inondation.

Le manque de données historiques a aussi un impact sur la perception du risque et influence la décision ou non de prendre une cyber assurance ou d'en proposer. Les compagnies d'assurance ont eu jusqu'il y a peu une tendance à surestimer la profitabilité de ce produit. Les professionnels surestiment la probabilité de survenance d'une cyber attaque mais sous-estiment l'impact financier. Ce sont autant d'incitants à proposer des produits d'assurance puisque le client se dit que cela va lui arriver.

Pas de modèles

Il n'y a aucun modèle pour estimer le risque, le quantifier et à fortiori le calibrer par rapport à des données historiques. De tels modèles, s'ils existaient, devraient être agiles pour s'adapter aux techniques tout le temps changeantes des hackers. Autre danger pour les compagnies d'assurance : le côté en cascade du risque. Comme l'ont montré les ransomwares ou les vers, une fois qu'une attaque a du succès, elle se répand à plusieurs entreprises sans crier gare (NotPetya) dans tout un secteur. Elle ne se limitera pas à une seule entreprise. La standardisation des systèmes informatiques l'explique. Le montant des pertes à couvrir à estimer n'est pas à calculer à l'échelle d'un seul assuré mais de plusieurs et gare s'ils sont tous assurés auprès de la même compagnie : c'est ce qu'on appelle le risque d'accumulation. La sécurité d'une entreprise dépend aussi souvent comment ses partenaires, ses clients ou ses fournisseurs qui, de plus en plus interconnectent leurs systèmes entre eux, ont organisés leur propre sécurité. Là, un assureur n'a pas de contrôle , insiste l'agence américaine de cybersécurité.

Le manque de partage d'information est un autre écueil. Personne ne veut révéler ses vulnérabilités de peur de nuire à sa réputation. Cela donne une asymétrie de l'information : l'assureur connait beaucoup moins bien les risques que son assuré. Pire: un assuré peut décider de  relâcher ses efforts  en termes de mise en place ou de maintien d'une bonne cybersécurité en pensant que le risque est couvert. La compagnie d'assurance couvre un chat dans un sac, dans ce cas. C'est pourquoi, au moment de renouveler une police de cyber assurance, la compagnie vient sur place et essaie tant bien que mal de contrôler ce que l'assuré a lui-même mis en place mais si c'est écouter une présentation, ce ne sont que de beaux discours. Il faudrait aller jusqu'à un audit par des tiers spécialisés. Et puis, quand on installe un software, comment peut-on aussi être sûr de sa qualité et de sa sécurité ? Ceci dit, ajoute un peu perfidement l'agence américaine de cybersécurité, les assureurs ne sont pas beaucoup plus vertueux : ils hésitent aussi à se partager de l'information sur les dommages qu'ils ont couverts.

Les prix

Les prix demandés, enfin,  pour les assurances sont de tout ordre : un prix fixe all-in-one ou en fonction des contrôles mis en place par la société. Face à l'asymétrie de l'information qui règne, la prime de cyberassurance n'est même pas un motivateur à augmenter la qualité de sa cybersécurité. Elle est fonction d'un jugement et ce n'est pas bon. Pour limiter l'accumulation de risques, il y a aussi des grosses limitations dans montant couverts. Au final, les limites assurables sont trop basses par rapport au dommage réel. Enfin, le langage utilisé dans les contrats de cyberassurances est souvent confus ou peu clair. Cela crée de la confusion sur ce qui est vraiment couvert. Une normalisation des termes serait le bienvenu.

Si vous voulez souscrire à une assurance cyber, sachez que les assureurs sont en train de bâtir ces produits. Rien n'est encore coulé dans le marbre : vous pouvez négocier mais votre compagnie d'assurance aussi et c'est légitime.

_________

Pour en savoir plus :

Assessment of the Cyber Insurance Market, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency, Office of the Chief Economist, Draft Version: July 2019

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :