Au 1er semestre 2021, les autorités américaines ont évalué à 590 M$ les paiements de rançons à la suite d'attaques par ransomwares, comparés à 416 M$ en 2020. La recrudescence de ces attaques, en forte hausse depuis la crise sanitaire mondiale, a conduit en partie les assureurs à augmenter leurs tarifs appliqués aux cyber-risques. En septembre dernier, l’Amrae constatait de fait la dégradation des conditions de couverture, « en particulier sur les garanties déclenchées à la suite d’un ransomware », dans son rapport « Etat du marché & perspectives 2022 ». L’augmentation des taux de primes a pu dépasser les 100%, précisait l’Association pour le management des risques et des assurances de l’entreprise, en ajoutant que les franchises étaient doublées et que les courtiers anticipaient une poursuite de la hausse des taux en 2022.
C’est dans ce contexte que la compagnie d’assurance Lloyd’s of London, qui détient environ 1/5ème du marché cyber mondial, décourage sa centaine de membres syndiqués de s’investir dans la cybersécurité l’année prochaine, vient de rapporter Reuters, selon des sources du secteur de l'assurance souhaitant rester anonymes. Le dédommagement des attaques par ransomwares a entraîné pour eux de lourdes indemnisations et face à la demande accrue des entreprises pour ces contrats de protection, les assureurs intervenant sur le marché de la Llyod ont pu facturer des taux de prime plus élevés pour couvrir les rançons, la réparation des réseaux attaqués, les pertes sur l’interruption de l’activité et même les coûts de relation publique pour restaurer l’image de l’entreprise, indique l’agence de presse. De plus en plus méfiants, des assureurs pensent même que certains attaquants s'assurent au préalable que leurs victimes potentielles ont des polices d'assurance qui en feraient de meilleurs payeurs.
Aux Etats-Unis, déjà, un groupe comme AIG avait annoncé augmenter de 40% ses primes face à la montée des cyber-sinistres et à la menace croissante des ransomwares. Après des attaques ayant menacé les supply chains d'importants fournisseurs (comme celle du distributeur de produits pétroliers Colonial Pipeline, victime de DarkSide en mai dernier), le président américain Joe Biden a placé les efforts de cybersécurité parmi les principales priorités de son administration.
Quid des captives d'assurance
Selon l’indice Risk Insights du groupe américain Corvus Insurance (réalisé sur sa base de sinistres), la moyenne des rançons payées est nettement remontée au 3ème trimestre 2021, à 290 000 dollars, contre 222 000 $ un an plus tôt, après une baisse notable de la moyenne sur les trois trimestres intermédiaires qui semblait alors s’expliquer par une meilleure prise en compte des cyber-menaces par les assurés.
Alors que le marché de l’assurance revoit ses positions sur le cyber-risque, les entreprises doivent-elles de leur côté envisager d’investir dans une infrastructure de protection (captive*) ainsi que l’Amrae l’exposait notamment dans la webconférence d’Enjeux DAF du 22 septembre « Comment maîtriser les nouveaux risques ? » (voir le replay en ligne). Dans son rapport 2021, l’Association suggère également que « les courtiers doivent envisager de nouvelles structures de placement, et mettre l’accent sur les outils de placement alternatifs (usage de captive quand c’est possible) » et constate que « l’utilisation de marchés extérieurs se systématise ». Le sujet des captives d’assurance a notamment été examiné dans le cadre du projet de loi de finances 2022 avec l’objectif d’en revoir le cadre fiscal pour favoriser leur développement en France. (màj 23/11) Toutefois, aucune disposition en faveur de ces outils ne figure pour l'instant dans le projet de loi, regrette l'Amrae qui vient par ailleurs d’annoncer la création prochaine de la Fédération Française des Captives d’Entreprise, « avec des acteurs économiques de premier rang », précise l'association.
En mai 2021, l’Amrae avait également publié une étude sur le risque cyber et sa couverture assurantielle : LUCY : LUmière sur la CYberassurance.
(*) Une captive d’assurance est une filiale créée par une entreprise pour garantir ses risques.
Commentaire