Le marché de la cyberassurance en 2019
Le cyber-risque est un risque complexe à caractère évolutif et multiforme. Cette menace émergente dont les conséquences sont aussi désastreuses que les catastrophes naturelles est un risque difficile à modéliser. Son impact n’est pas facile à quantifier, du fait qu’une attaque peut simultanément affecter une multitude de cibles.
En quelques secondes, les réseaux et serveurs informatiques de plusieurs millions d’entreprises peuvent être infectés partout dans le monde. Une offensive peut également paralyser des villes entières durant de longues périodes et se terminer par un vol massif de données personnelles.
De telles atteintes amènent certains analystes à qualifier les cyber-attaques de nouveau risque systémique.
Marché de la cyberassurance en chiffes
De petite taille, le marché de l’assurance cyber est détenu, pour l’heure, par des assureurs extrêmement prudents. Ces derniers font face à un risque difficile à appréhender, évolutif et très coûteux. De plus, l’absence d’historique sinistre peut déboucher sur une prime totalement inadaptée.
Malgré ces obstacles, la cyberassurance se développe à un rythme soutenu. Selon les données de Munich Re, le marché est évalué à 3,5 milliards USD à fin 2018. Concentré aux Etats-Unis, la cyber-assurance va doubler son chiffre d’affaires d’ici 2020 et atteindre, toujours selon le réassureur allemand, 20 milliards USD de primes à l’horizon 2025.
Face à la complexité du risque, des solutions sont de plus en plus développées par les grands opérateurs du marché. Swiss Re a récemment lancé un nouveau produit dénommé "Decrypt". Chubb et AXA couvrent, à eux deux, plus de 30% des cyber-risques du marché américain. Trust Insurance Management, société de gestion de risques basée à Bahreïn, s’est également lancée dans la souscription des couvertures cyber auprès des entreprises des pays du Conseil de Coopération du Golfe.
A ce jour, la sinistralité engendrée par ce risque a été bien gérée par le marché. Une hausse des taux de prime des contrats cyber a été enregistrée depuis les attaques WannaCry et NotPetya. Dans l’ensemble, les taux ont connu une hausse de plus de 50% en 2019.
Cyberassurance : classement des incidents selon les demandes d’indemnisation
| Type de cyber-incidents | Part des demandes d'indemnisation |
|---|---|
Compromission de messagerie / piratage d'e-mail | 23% |
Ransomwares (2) | 18% |
Piratage de données | 14% |
Violation de données dues à la négligence des collaborateurs | 14% |
Usurpation d'identité | 8% |
Autres virus/infections liées à des programmes malveillants | 6% |
Défaillance du système/panne | 5% |
Perte ou vol de données | 5% |
Autres (3) | 4% |
Autres cyber-extorsion (non ransomwares) | 3% |
(1) Etude menée par AIG au niveau de la région EMEA (Europe, Moyen-Orient et Afrique), analysant les demandes d’indemnisation reçues en 2018.
(2) Un rançongiciel : logiciel de rançon ou d’extorsion de fonds
(3) Attaques par déni de services
Les couvertures cyberassurance
Le risque cyber peut être couvert de deux manières ; soit par le biais d’une police traditionnelle, soit à travers des couvertures spécifiques.
- Police traditionnelle ou implicite «silent cyber»
Il s’agit d’une police d’assurance dommages IARD ou RC classique qui ne comprend pas d’exclusion explicite du risque informatique. Cette couverture est dite silencieuse. D’autres garanties cyber peuvent également être intégrées à l’offre classique.
Ce type de couverture suscite l’inquiétude des acteurs du marché. Le Lloyd’s a fait récemment part de sa crainte des polices qui n’excluent pas explicitement les cyber-risques. Il a même appelé ses membres à clarifier leurs contrats d’assurance et de réassurance. Ces derniers devront dès 2020 mentionner explicitement si le risque cyber est couvert ou non et jusqu’à quel niveau.
Allianz et AIG ont procédé à la même démarche auprès de leurs entités respectives.
- Couverture spécifique ou affirmative
Il s’agit d’une couverture d’assurance spécifique qui prend en charge les cybers incidents. Cette police accompagne l’assuré avant, pendant et après la survenance de l’attaque. L’assurance prend en charge le coût de réparation (logiciels et data), l’arrêt d’exploitation, voire les atteintes à la réputation et aux données personnelles.
Limites de la couverture cyber
Les polices cyber assurance sont jugées :
- peu claires, trop générales contenant plusieurs exclusions,
- non adaptées au profil de l’assuré.
- Vous devez vous identifier ou créer un compte pour écrire des commentaires
