Publication : L'actuariel Octobre 2018

Cyberassurance : digérer la part de risques

Coralie Baumard

Six cents milliards de dollars, c’est le coût annuel mondial de la cybercriminalité pour les entreprises en 2018¹. Conséquence, le marché de la cyberassurance se développe : en 2016, le volume des primes mondiales en cyberassurance était estimé à 3,5 milliards de dollars, dont 3 milliards provenaient des sociétés américaines, selon l’OCDE. Et ce n’est pas fini. Il devrait atteindre plus de 10 milliards de dollars en 2020, selon le rapport Seizing the Cyber Insurance Opportunity de KPMG, paru en 2017. De quoi aiguiser les appétits !

Contrairement aux États-Unis, où l’assurance cyber se développe depuis les années 2000, le marché européen demeure embryonnaire. Résultat, « une cyber-assurance en Europe continentale coûte deux à trois fois moins cher que sur le marché anglais ou américain, analyse Luc Vignancour, souscripteur cyber chez Beazley. Mais je ne sais pas si cela durera. Les sinistres en France ne dépassent pas encore les dix millions d’euros. Ce sera le premier gros sinistre de cumul qui fera bouger les prix ». L’offre supérieure à la demande et la concurrence féroce expliquent aussi les politiques tarifaires. « Les polices sont présentées avec un volet responsabilité civile et un volet dommages. Certains assureurs, pour des contextes particuliers de fusion, de rapprochement ou d’envie de constituer un matelas de primes, sont très agressifs. Ils proposent des prix relativement bas sur les entreprises du CAC 40, un segment de marché qui est fortement équipé, mais aussi sur les ETI. Or celles-ci présentent un niveau de sécurité inférieur. Nous arrivons à une situation illogique : des prix très bas pour des risques beaucoup moins matures », analyse Jérôme Chartrain, souscripteur cyber chez Allianz Global Corporate & Specialty (AGCS), l’entité d’Allianz dédiée à l’assurance des grands risques industriels et de spécialités.

DES RISQUES ÉNORMES

Traversant les frontières et pouvant s’attaquer à n’importe quelle entreprise quels que soient sa taille et son secteur, le risque cyber pose la question de la méthode de mutualisation. « Il existe en assurance une mutualisation sur le plan géographique, notamment à l’échelle mondiale. Le cyber, de par sa nature, n’est pas dans ce schéma-là. Potentiellement, il pourrait se mutualiser de manière moins nette que les risques traditionnels et c’est une difficulté supplémentaire pour les compagnies d’assurances et de réassurance », déclare Alexandre Hassler, actuaire certifié IA et dirigeant de Lyon RE. À tel point que cela pourrait remettre en question la pérennité du marché. En 2017, le Lloyd’s et la société Cyence ont scénarisé le piratage d’un fournisseur de cloud. Les pertes économiques s’échelonnaient de 15,6 milliards de dollars à 121,4 milliards en fonction des entreprises concernées et de la durée d’indisponibilité des services. « Est-ce que le marché de l’assurance et de la réassurance est en mesure de fournir assez de capacité pour couvrir tous les sinistres et faire naître un marché de la cyberassurance suffisamment viable à long terme ? », interroge Alexandre Hassler.

Le monde de l’assurance doit d’abord maîtriser le cumul des engagements, et ce à plusieurs titres. La spécificité du risque cyber, c’est qu’un même événement est susceptible de causer de multiples sinistres au titre de diverses polices chez de multiples assurés à travers le monde. Mais un même malware qui affecterait plusieurs entreprises n’est pas le risque de cumul le plus préoccupant, selon Jérôme Chartrain : « La plupart de nos assurés passent par des prestataires informatiques et sous-traitent certaines de leurs prestations comme l’hébergement. Si Google, Amazon ou OVH étaient touchés par un malware, que se passerait-il ? Si nous avons dix assurés qui sont hébergés par le même prestataire et que ce dernier connaît des difficultés de type cyber, nous pourrions avoir à payer dix fois la perte d’exploitation propre à chaque risque. »

L’assureur est donc particulièrement vigilant sur cette question et travaille avec Cyence, une société spécialisée en modélisation et analyse des cyberrisques, pour identifier les prestataires informatiques des assurés ou futurs assurés d’Allianz. « Si nous ne nommons pas les prestataires dans le contrat, il faut que les assurés soient capables de nous renseigner sur les clauses contractuelles et les types de responsabilité, pour que nous puissions engager un recours contre ce prestataire en cas de sinistre », expose Jérôme Chartrain.

La tendance actuelle des demandes des entreprises pourrait aussi générer un autre risque de cumul. « Certains acteurs industriels voudraient que l’assureur prenne en charge leur risque de pertes d’exploitation lié à la défaillance de n’importe quel type de fournisseurs par exemple un fournisseur de pièces, ou de services. Or il est quasiment impossible de maîtriser ces risques », signale Jérôme Chartrain.

Lire la suite…