Les assurances couvrant le risque cyber n'ont pas encore connu le grand soir, l'attaque qui, comme un ouragan, frappe sans discernement, tout le monde avec à la clé, une demande massive d'indemnisations simultanées. Les primes versées des années durant servent alors avec l'espoir qu'elles furent calculées avec justesse.

Ce grand soir est prévisible : les rançongiciels, ces dernières années, qui se sont propagés d'entreprise en entreprise étaient puissantes, mais imparfaits, avaient des bugs et ont pu être stoppés. Mais nul doute que d'autres, proches de la perfection, non stoppables, sont en préparation.

Les premières cyberassurances ont vu le jour, dans les années 80. Elles ne servaient qu'à s'assurer contre des erreurs de programmation. Le bug de l'an 2000, avec la peur irrationnelle qu'il a engendré, a vu les cyberassurances prendre un premier envol.  Les premières législations de protection des données, dès 2003, en Californie, ont créé un nouveau marché cyber pour les assurances. C'est l'obligation de rendre public les brèches de données qui ont amené les entreprises à ne plus pouvoir taire des vols de données et donc, à s'exposer à d'éventuels dommages et intérêts et, depuis le RGPD, à des amendes salées.

En 2017, les primes versées pour les cyberassurances se sont élevées à 4 milliards d'USD, au niveau mondial, mais surtout américain. On estime que les primes atteindront 6,4 milliards en 2019. En 2015, moins de 50 compagnies offraient de telles assurances. Elles étaient 150 en 2018.  Mais tout cela reste une goutte d'eau par rapport aux 2.000 milliards de tout  le secteur de l'assurance non-vie.

Une cyberassurance protège contre des pertes. Il y a celles générées par la fuite de données, par la contagion de malware à travers un réseau et des ordinateurs qui sont rendus inutilisables, il y a les attaques par déni de service qui saturent les serveurs et l'infrastructure qui hébergent l'e-business de la société, il y a les transactions financières frauduleuses par voie électronique. Mais ce sont, de loin, les dégâts liés à la perte ou au vol des données qui l'emportent. Ils représentent la moitié de tous les dommages cyber à ce jour.

Un business très rentable  jusqu'au premier test nature

Le secteur de la cyberassurance n'a pas encore connu de catastrophe systémique majeure, un évènement qui amène la majeure partie des clients ayant souscrit à une cyberassurance à demander une intervention. Le business de la cyberassurance reste de ce fait un des plus profitables : le rapport entre les primes versées et les interventions demandées est de 2 à 1.

Certains types d'assurance fonctionnent aussi des années durant sans demande d'indemnisation. Les primes s'accumulent et puis une grande catastrophe intervient. En une fois, les années de primes accumulées sont effacées. Le problème avec les cyberassurances, contrairement assurances couvrant les ouragans par exemple, est qu'on manque de recul. Une cyberattaque mondiale n'est encore jamais arrivée. Le secteur pourra-t-il, ce jour-là, faire face à une demande massive d'intervention ? Les primes sont-elles bien calculées ? Quand cela arrivera, parce que cela arrivera, aucun assureur ne voudra plus jamais assurer le risque cyber si elles ont été mal calculées. On fait quoi alors ? Beaucoup de cyberassurances imposent un plafond relativement bas de couverture, car les assureurs manquent de scénarios qui permettent d'envisager la pire perte possible.

À côté de cela, on a  les entreprises qui sont prêtes à payer plus pour être plus couvertes. On estime aujourd'hui que les cyberassurances ne couvrent que 10% des dommages dus à une cyber attaque. La moitié des cyberassurances ont une couverture inférieure à 1 million USD. Seuls 10% des assurances couvrent jusqu'à 10 millions USD. Pour obtenir une couverture entre 100 millions et 500 millions USD, il faut avoir recours à des montages complexes qui impliquent plusieurs assureurs. Au fur et à mesure que les assureurs gagnent en confiance sur la maitrise qu'ils pensent avoir du cyberrisque, les couvertures augmenteront, mais elles resteront  inférieures à ce que le marché a besoin pour se couvrir correctement. Un chiffre est éloquent : au niveau mondial on versera, en 2019, 6.4 milliards USD de prime, mais on dépensera 120 milliards USD dans la cybersécurité.

Qui peut être couvert ?

Il y a les sociétés directement impactées par le malware, par le rançongiciel, avec donc, perte de données, des ordinateurs incapables de fonctionner. Certaines assurances prévoient de couvrir les clients en aval qui ne peuvent plus être fournies par l'entreprise victime de l'attaque. Les sociétés de service informatique ont aussi intérêt à se couvrir : si elles garantissaient à leurs clients de ne jamais subir d'attaque réussie, ces derniers peuvent se retourner contre elles. Devront être couverts la cyber extorsion, les coûts pour gérer l'attaque, ses conséquences, l'enquête, le nettoyage, restaurer les données, les efforts pour découvrir le modus operandi pour éviter que l'attaque ne se reproduise etc.

Aussi pour les particuliers

Les cyberassurances sont de plus en plus proposées aux particuliers. Ce n'est pas absurde : on s'assure bien contre le vol, le cambriolage de ses biens physiques, mais nos avoirs deviennent virtuels. Ils ont autant de valeur. Les cyberassurances pour particuliers se démocratisent avec des primes (et les couvertures associées) pour tous les revenus. Elles couvrent l'usurpation d'identité, les transactions frauduleuses, les rançongiciels et même les remboursements de proches qui ont payé  un pirate qui s'est fait passer pour vous suite  à  du social engineering. La perte d'image sur le Net, la lutte contre les fausses rumeurs diffusées à votre sujet, la diffusion d'images compromettantes  et d'éventuels cas où votre responsabilité est engagée vis-à-vis de tiers en font partie aussi. Certains pensent d'ailleurs qu'il deviendra tellement naturel de couvrir ses biens virtuels que les cyberassurances spécialisées disparaitront. Toutes les assurances traditionnelles pourraient simplement avoir un volet cyber en plus.

Attendez le prochain cybercataclysme

Pourtant tout n'est pas rose. La demande de couverture des entreprises est plus grande que celles proposées aujourd'hui par les cyberassureurs.  Dans la gestion du risque, les trois piliers que sont la prévention, la remédiation et le transfert du risque (vers une assurance), les deux premiers piliers apparaissent donc disproportionnés. Le risque est que les entreprises si elles ne peuvent couvrir que 10% de leurs pertes potentielles ne finissent par se détourner des assurances comme pilier de gestion du risque. Ce ne serait pas une bonne chose quand le grand soir sera là.

____

Pour en savoir plus : Bashe attack, Global infection by contagious malwaren, Cyrim Report 2019