Comparez gratuitement les assurances cyber risques

Comment trouver une assurance cyber quand l'offre se réduit ?

14 févr. 2022 Quentin Bas Lorant 433 vues

ASSURANCE CYBER RISQUES Comparez gratuitement

Le risque cyber est désormais le plus redouté par les entreprises et les assureurs, comme l'a notmmanet montré le dernier baromètre d'Allianz. Plus fréquentes et plus coûteuses, les cyberattaques sont pourtant de moins en moins assurables. Face à un risque trop élevé, il est de plus en plus difficile de se couvrir pour les entreprises : les tarifs et les franchises augmentent, tandis que les plafonds de couverture diminuent.

Pour trouver son assurance cyber, il est donc recommandé de passer par un courtier, ou par un comparateur d'assurance cyber en ligne. Pour en savoir plus, nous avons rencontré Guillaume Deschamps, Directeur FINEX chez Willis Towers Watson.

Pouvez-vous nous expliquer votre rôle au sein de WTW ?

Je dirige un département technique – FINEX - qui traite les risques du segment des « Lignes Financières », et en particulier les risques cyber qui nous mobilisent beaucoup en ce moment. Notre travail consiste notamment à placer et gérer pour le compte de nos clients des programmes d’assurances, mais pas uniquement s’agissant des risques Cyber. Nous nous devons en effet d’évoquer également le cyber sous l’angle du risque et de sa qualité avant même de parler d’assurance, pour justement être ensuite en mesure de trouver une solution sur le marché de l’assurance. L’une des principales conséquences d'une attaque Cyber pour une société industrielle et commerciale est l’arrêt des systèmes d’information qui pilotent l’activité de la société, ce qui peut aboutir temporairement ou de façon plus ou moins durable à l’impossibilité de produire et de livrer ses biens ou ses services par exemple. Cela a pour répercussion l'arrêt partiel ou total de l’activité, et donc une perte de chiffres d’affaires, que l’on qualifie de perte d'exploitation. 

Peut-on dire que l’émergence du télétravail a favorisé celle du risque cyber ces deux dernières années ?

Nous avons vu un lien entre le télétravail et la résurgence du risque cyber, en effet. De très nombreuses personnes ont commencé à travailler à distance, avec des sécurités informatiques plus faibles que sur leur lieu de travail habituel. En effet, les personnes en charge de la sécurité informatique travaillent aussi de chez elles, et exercent donc un contrôle moins régulier. Cette situation a ainsi pu permettre à des tiers (hackers) de s'infiltrer plus facilement dans les systèmes d’information de société pour accéder à des données et leur permettre de se façonner, par exemple, l'identité d'un cadre supérieur, d’un dirigeant, ou d’un directeur général pour ensuite demander à des collaborateurs d'effectuer des virements financiers (« Fraude au faux président »). Ainsi, les risques Cyber et la fraude sont étroitement liés, car une attaque cyber peut ensuite aboutir à une fraude externe. Mais ils auront des conséquences différentes, traitées par une police d’assurance spécifique.

 

Quels sont les différents types de cybercriminalité ?

Quand un tiers s'attaque à une société, c'est souvent pour obtenir un gain, notamment le paiement d’une rançon en échange d'un recouvrement du système informatique ou des données, ou bien en revendant des données volées après s’être introduit dans les systèmes d’information d’une société. Cela se passe encore souvent par l’envoi d'un email au nom d'une société connue, avec un lien internet ou une pièce jointe. Le collaborateur qui reçoit l’email clique sur le lien ou ouvre la pièce jointe et cela permet alors l'intrusion d'un virus, qui va se répandre dans les systèmes d’information, bloquer l'accès aux outils informatiques, crypter les données et les rendre inutilisables. Pour retrouver l’accès aux outils informatiques ou aux données, indispensables à l'activité de l’entreprise, une rançon est fréquemment demandée. En complément, les données personnelles acquises sont revendues sur le darknet. Les hackers peuvent donc se rémunérer de deux façons.

Comment les entreprises peuvent-elles encore progresser pour réduire ce risque ?

En tant que courtier, quand on s’aperçoit que l'attaque débute par un email, on comprend que le facteur humain est très important dans la gestion du risque Cyber. D'où l'intérêt de sensibiliser les collaborateurs, y compris en envoyant des faux emails suspects. Dans notre entreprise, quand nous recevons un mail suspect, nous pouvons le transférer à nos collègues informaticiens, qui vont l’analyser pour connaitre sa dangerosité. La réduction du risque cyber passe par là. L’envoi régulier de faux emails permet de voir combien de personnes continuent à ouvrir ce type de message. Cela permet de suivre dans la durée l’intégration des gestes de sécurité. Si le taux de clics diminue, c’est que l’éducation au risque cyber progresse.

« On comprend que le facteur humain est très important dans la gestion du risque Cyber. D'où l'intérêt de sensibiliser les collaborateurs, y compris en envoyant des faux emails suspects ».

Une autre technique peut consister par exemple à laisser une clé USB corrompu dans un open space ou à la réception de la société partant du principe que quelqu’un va la récupérer et regarder par curiosité son contenu. Les hackers utilisent cet objet pour compromettre l’ordinateur du collaborateur qui va la récupérer et l’insérer dans son ordinateur de travail : le simple fait de la brancher suffit à transmettre un virus. C’est la raison pour laquelle l’utilisation de clés USB non sécurisés n’est plus autorisée dans de nombreuses sociétés sur des ordinateurs professionnels. On apprend de ces techniques pour protéger nos organisations. L'objectif est toujours de réduire au maximum la contribution de l’humain aux risques Cyber.

Comment mesurez-vous la prégnance du risque cyber actuellement ?

Beaucoup de rapports publiés à travers le monde par des assureurs, des experts informatiques, des professionnels de la sécurité informatique, etc. nous permettent de mieux appréhender la menace et de comprendre qu'elle est en croissance à travers le monde. Actuellement, le risque zéro n'existe plus, et toutes les sociétés sont exposées, quelle que soit leur taille et leur activité. Les informations qui circulent doivent permettre de prendre conscience de la réalité de la menace, et d’en comprendre les nombreuses conséquences et les enjeux.

« Actuellement, le risque zéro n'existe plus, et toutes les sociétés sont exposées, quelle que soit leur taille et leur activité ».

En mai 2018, la publicité du risque cyber s’est faite aussi plus forte, avec l’entrée en vigueur du RGPD, et le devoir de notification en cas d’atteinte aux données et les couts associés (frais de notification, et actions en responsabilité). Beaucoup ont pris conscience de l’exposition généralisée et croissante des entreprises du fait de l'augmentation de ces frais. Aujourd’hui, on s’aperçoit que ce qui coûte cher ce ne sont pas les frais de notification, mais ceux qui sont engagés pour gérer la crise, comprendre ce qui s’est passé et stopper la contamination des systèmes, nettoyer les systèmes et les remettre en marche, reconstituer les données et compenser la perte d'activité liée à un arrêt plus ou moins long des systèmes d’information. Sans parler des éventuelles actions en responsabilité introduites par des tiers dont les données auraient été volées ou consultées et utilisées à leurs dépens.

Quelles entreprises ont le plus intérêt à s’assurer ?

Le recours à l'assurance cyber sera plus crucial pour une PME, car un grand groupe peut absorber plus facilement les nombreuses conséquences financières d’une attaque cyber. Devoir dépenser plusieurs centaines de milliers voir quelques millions d'euros pour gérer la crise peut être très lourd pour une PME. Cela peut mettre totalement en jeu la survie d’une petite entreprise régionale si elle dispose d’une trésorerie limitée ou si l’arrêt d’activité la prive de revenu nécessaire à son bon fonctionnement. Le principe de l’assurance cyber consiste à transférer financièrement ce risque à un tiers pour éviter que l'entreprise le supporte sur son bilan, après avoir permis à la société visée par l’attaque cyber de bénéficier des services d’experts associés à l’assureur qui couvre le risque.

 

Les PME sont aussi les moins assurées…

Les PME sont en effet moins assurées, mais aussi plus exposées et plus vulnérables, car leur niveau de sécurité est souvent moins optimal. Malheureusement, elles pensent que les grands groupes sont davantage visés. Nous constatons une demande croissante d’assurance cyber de la part des PME, car elles prennent conscience de leur exposition et des conséquences. Le problème, c’est que nous rencontrons des difficultés à les mener à l'assurance. En effet, les assureurs ont un niveau d'exigence de plus en plus élevé en termes de prérequis, c’est-à-dire de mesures qui doivent être déjà en place pour se protéger d’une attaque Cyber, et lorsque ces prérequis n’existent pas ils considèrent alors que le niveau de risque est trop fort et refusent d’exposer le bilan de leur compagnie à de nouveaux potentiels sinistres. Dans ce cas, le client va d'abord devoir améliorer son niveau de protection pour ensuite pouvoir accéder au marché de l’assurance.

En tant que courtier, comment jugez-vous actuellement l’offre cyber ?

L’offre cyber continue à exister mais elle se raréfie et son accès se complexifie : de moins en moins d'acteurs sont présents sur ce marché, et ceux qui le sont réduisent leurs capacités ou bien considèrent uniquement des interventions « en excess » ce qui limite le nombre de possibilités pour une intervention en première ligne. Un assureur pouvait proposer des plafonds de couverture compris entre 15 et 20 millions d’euros il y a quelques années, aujourd’hui le maximum est plutôt compris entre 5 et 10 millions.

Nous constatons de plus une forte augmentation des franchises. Les assureurs voient le risque augmenter, et comprennent combien les sinistres peuvent leur couter. Ils conditionnent donc leur participation à des montants de franchise plus importants que par le passé. Il est maintenant courant pour les grands groupes de voir des franchises de plusieurs millions d'euros. Pour une société du CAC 40, le niveau de franchise peut grimper jusqu’à 5 millions d’euros dans certains cas. Pour les PME la franchise se situait il y a peu entre 50 000 et 100 000 euros, et désormais elle se situe entre 350 et 500 000 euros, voire au-delà en fonction du profil de risque et de la qualité du risque Cyber du client. Tous les assurés subissent la hausse des franchises, car les assureurs se protègent davantage.

Le troisième niveau de corrections consiste en une forte majoration des tarifs. S’assurer en cyber coûte beaucoup plus cher que par le passé, à mesure que la sinistralité se développe. Les assureurs ne disposent pas de volumes de primes suffisantes pour faire face à la sinistralité actuelle et à celle de demain. Même les clients qui se sont assurés en cyber par le passé et renouvellent tous les ans ont connu une hausse au 1er janvier après celles subis en 2021, même en l’absence de sinistre, et ils continueront de connaitre des majorations en 2022. Nous remarquons donc, du côté des assureurs, une véritable volonté de « faire rentrer de la prime », pour être en mesure de faire face à la sinistralité à affronter et ainsi être en mesure de continuer à assurer ce risque.

Comment aidez-vous vos clients à s’assurer ?

Un courtier est là pour notamment gérer et placer des polices d'assurance, quand nous sommes en mesure d’en fournir après avoir sollicité et mobilisé le marché de l’assurance. Toute la difficulté est là, en ce moment, avec l’assurance cyber. Nous développons donc aussi notre activité sur la partie risque. Nous travaillons de plus en plus avec nos clients pour les aider à améliorer leur sécurité informatique, et à se présenter sous leur meilleur jour face aux assureurs. Nous avons notamment élaboré des questionnaires de souscription pour présenter aux assureurs les informations qui leur sont nécessaires pour apprécier le risque. Nous travaillons beaucoup à l’organisation de réunions de souscription qui sont l’occasion de partager avec les assureurs et de commenter les informations indispensables à l’appréciation du risque. L’idée est de favoriser les rencontres entre entreprises et assureurs, pour rassurer ces derniers sur leur prise de risque. Nous sommes certes courtiers, mais aussi consultants en risque. Nous aidons à quantifier l'exposition au risque. Pour ce faire, nous avons par exemple développer un outil qui permet à nos clients de mieux apprécier leur exposition au risque cyber, en termes de fréquence et d’intensité, pour ensuite structurer en conséquence, notamment en termes de limite, la garantie cyber souhaitée par nos clients. 

bloc-cta-car
Économisez jusqu'à 40% sur votre assurance auto

Grâce à Assurland.com, comparez gratuitement vos assurances personnelles en quelques minutes pour être protégé au meilleur prix !