Cyber-risques : une offre en devenir ?

La date du 5 février 2016 restera longtemps dans la mémoire du responsable informatique du Hollywood Presbyterian Medical Center. Cet hôpital de Los Angeles a en effet subi ce jour-là une attaque informatique majeure, sous la forme d'un logiciel malveillant qui a contaminé tout le système informatique. Les pirates ont exigé une rançon de près de 17 000 dollars, en échange de l'antidote numérique. Après une dizaine de jours de dysfonctionnements majeurs, l'hôpital s'est résolu à payer la somme aux hackers.

Les entreprises encore peu sensibilisées

Ce scénario catastrophe d’attaque au « ransomware » (ou « rançongiciel ») était encore l'apanage des films de science-fiction à grand spectacle il y a quelques années. C'est pourtant devenu une réalité bien désagréable pour de nombreuses entreprises aujourd'hui. Selon une étude de Hartford Steam Boiler, 9 entreprises américaines sur 10 ont connu au moins un incident de piratage en 2015 ! Le sondage pointe également une hausse de 21 % des cyber-attaques par rapport à 2014.

En France, une autre étude¹ révèle que seuls 17 % des chefs d’entreprise se sentent exposés au risque de cybercriminalité. Si le chiffre bondit à 29 % dans les entreprises réalisant plus d'un million d'euros de chiffre d'affaires, ils ne sont plus que 14 % dans celles en dessous de 200 000 euros de CA. Pourtant, ils sont 62 % à reconnaître que ce type de risque va augmenter d'ici deux ans.

Une typologie d'assurance difficile à modéliser

Lors du Grand forum de l'assurance qui s'est tenu en mai dernier, différents intervenants se sont accordés pour dépeindre un marché en construction et faire le constat de demandes en hausse de la part des clients. Le défi est toutefois de dimensionner une offre, hétérogène et complexe par nature du fait de la variété des risques et des coûts en jeu. Toute la difficulté est justement d'évaluer l'ensemble des coûts d'un acte de piratage ou de fraude informatique pour une entreprise. Le seul coût de notification de perte (ou de fraude) d'une donnée aux personnes ou aux entreprises concernées peut varier de 20 à 200 euros par donnée. Quand il s'agit de millions de données, la facture monte vite !

Le marché de la cyber assurance pour les entreprises reste encore limité. Ces limitations tiennent aux caractéristiques du risque lui-même. Le niveau de technicité d’abord?: les techniques de cyberattaque auront toujours une longueur d’avance. Les objets connectés sont de plus en plus nombreux et la technologie va toujours plus loin. Les impacts sont difficilement quantifiables si la partie matérielle (les SI) est connue, donc aisément assurable, les conséquences immatérielles et leur étendue sont difficiles à mesurer.

Autre aspect de la problématique, ces risques sont transfrontaliers et l’assurance doit couvrir l’ensemble du Groupe industriel ou de services, où que se produise le sinistre qui peut concerner plusieurs (ou de nombreux) pays où les réglementations sont diverses. Les actuaires soulignent également le manque de vision sur l’historique du risque qui réduit la connaissance de la fréquence et de la gravité du risque. Bref, assureurs et réassureurs sont en plein débat.

Les particuliers français modérément inquiets

Selon l’édition 2015 de l’Observatoire européen des risques de Crédit Agricole Assurances sur les sujets de préoccupations majeurs en termes d’assurance, les risques relatifs au piratage informatique arrivent pour les Français (18% des réponses) bien après ceux liés à la santé (66%), au vol et agression (34%) ou à la route (40%). Contrairement aux britanniques, pour qui ce type de risques se place en 3^ème position de leurs sujets d’inquiétude (30% des réponses). Lorsqu’ils sont plus précisément interrogés sur cette question, la sécurisation de l'accès aux comptes bancaires et des moyens de paiement, la prévention du risque d'usurpation d'identité et la protection des données personnelles des enfants et des membres de la famille arrivent en tête des préoccupations des Français. Pourtant, ils ne sont que 44 % à avoir envisagé de se protéger avec une cyber-assurance² .

¹ Etude Ifop/PwC « Le marché de la cyber-assurance : la Révolution commence maintenant », septembre 2015.
² Etude Ifop/PwC « Le marché de la cyber-assurance : la Révolution commence maintenant », septembre 2015.