Le numéro du printemps 2019 de Atout Risk Manager, la revue de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), a consacré tout un dossier aux cyber-assurances. Ces assurances ont pour objet d'externaliser une famille de risques particulière : les cyber-risques. L'assureur prend donc à sa charge une réparation d'un préjudice lié à un sinistre informatique dont la nature était couverte par la police en échange du règlement d'une prime. Or, contrairement à des risques comme l'IARD (incendie, accidents et risques divers), les cyber-risques ne bénéficient pas de polices satisfaisantes. « La maturité du marché est encore loin » se désole ainsi l'AMRAE.
Apparues aux Etats-Unis, les cyber-assurances se multiplient : le courtier Marsh Europe distribue les offres de 35 assureurs alors qu'il y avait une dizaine d'offres seulement il y a une dizaine d'années. Mais le marché est loin d'être saturé car si les offres apparaissent, la demande demeure anémique. Selon Marsh Europe, les entreprises du CAC 40 sont couvertes à hauteur de 80-90 % en matière de cyber-risques mais le taux de couverture chute rapidement avec la taille des entreprises. On passerait ainsi à 50 % des entreprises du SBF 120 et 5 % des TPE disposant de clauses sur les cyber-risques dans leurs contrats d'assurances. « L'assurance constitue un des outils du Risk Management global, en complément d'une bonne compréhension de l'exposition au risque et de la mise en place d'outils internes » a pourtant observé Philippe Cotelle, administrateur de l'AMRAE et Président de la commission Systèmes d'Information.
Quatre volets pour une cyber-assurance
Quatre volets apparaissent dans la plupart des contrats : les coûts directs (perte d'activité), la responsabilité civile (dommage aux tiers : personnel, clients... notamment en cas d'atteinte aux données personnelles), assistance (aider l'entreprise à se remettre en route après un sinistre) et prévention (diminuer la probabilité de survenue d'un sinistre). Pour définir le contrat, il faut d'abord bien estimer les risques et voir ce qu'il faut couvrir ou pas. Cela suppose une collaboration, aujourd'hui peu naturelle, entre DSI, DAF et gestionnaire de risque. Les sinistres graves se sont multipliés ces derniers temps, en particulier avec les attaques de type NotPetya/Wannacry. L'assureur va aussi essayer de diminuer le risque encouru, pour baisser la probabilité de devoir indemniser l'entreprise. Il va donc insister sur un accompagnement de son client en matière de prévention voire conditionner son contrat à certaines opérations de prévention (formations...) mais ne va pas en général imposer des outils de cyber-sécurité précis. Notons que tous les contrats ne sont pas similaires, loin s'en faut. Par exemple, le remboursement des rançons payées aux cyber-rançonneurs n'est pas nécessairement inclus.
Sept assureurs ont été placés sur un banc d'essai par l'AMRAE : Allianz CS, AIG, Axa XL, Beazley, Hiscox, QBE et Zurich. L'AMRAE observe : « si l'analyse des grilles montre une certaine homogénéité dans les risques couverts, les capacités, ainsi que les exclusions et les franchises, diffèrent. » Le courtier semble avoir un rôle essentiel dans le choix de la bonne police, en accompagnant le gestionnaire de risques et le DSI pour définir les scénarios de risques et vérifier la pertinence des réponses apportées par tel ou tel assureur.
Commentaire