Pour qu’un marché en assurance puisse se développer, il faudrait faire converger les intérêts des entreprises (la demande) avec es intérêts des assureurs (l’offre). Le marché du cyber assurance peut difficilement échapper à ce principe économique. Il n’en demeure pas moins qu’il a ses propres spécificités qui constituent des inerties importantes pour réguler son développement.
La demande est générée par un rapport « besoin/douleur » dont le niveau est amplifié ou atténué par le niveau d’aversion à ce risque de chaque entreprise.
Ce niveau d’aversion est situé entre deux extrêmes selon l’idée que les dirigeants se font de la topologie de leurs réseaux informatiques. Les principaux paramètres pris en comptes sont :
- Mon réseau est-il isolé ou connecté vars l’extérieur ?
- Ai-je la maitrise complète des actions menées sur mon réseau ou mes salariés font des actions que je ne maitrise pas ?
- L’ensemble des mes systèmes sont à jour et sécurisés ou je ne sais pas vraiment où en sont les mises à jour ?
Aussi cette aversion tient-elle compte du niveau d’expertise du risque cyber en interne, du niveau de richesse disponible pour permettre de faire de l’auto assurance et in fine de la fonction d’utilité de la société.
L’offre est caractérisée, entre autres, par le paysage concurrentiel des assureurs, la conception des contrats (Garanties, primes, franchises, limites) et l’appétit à ce risque de chaque assureur. Cet appétit dépend énormément de l’appréciation des souscripteurs, des actuaires et des responsables de risques de chaque assureur. Ils se posent souvent les questions suivantes :
- l’antisélection : comment avoir un portefeuille équilibré ? Quel est le juste prix pour assurer le risque ? Quels sont les critères d’appréciation de ce prix ?
- l’aléa moral : comment impliquer les entreprises à perpétuer leurs efforts de prévention contre ce risque ? Les entreprises continueraient-elles à investir dans des contrôles de sécurité ex ante afin de réduire l’impact d’une attaque ?
Le dilemme est que si le coût d’une police d’assurance était abordable, les entreprises investiraient moins dans leur autoprotection contre les aléas cyber. Inversement, à mesure que l’assurance devient plus coûteuse, les entreprises arbitreraient leurs budgets vers la prévention.
Néanmoins, il faudrait souligner qu’abstraction fait du prix, les entreprises sont plus disposées à s’assurer contre des pertes plus importantes et moins fréquentes. Ceci constitue la caractéristique principale d’un marché assurantiel basé sur des phénomènes déclenchés par des événements rares. Ces derniers constituent un socle d’aléas que les spécialistes et les experts, au sein des entreprises, considèrent comme difficile à anticiper et donc par essence transférable.
Pour mieux qualifier le marché, il est intéressant de revenir sur des caractéristiques largement partagées par les autres branches d’assurance mais avec des spécificités inhérentes à la nature de ce risque. Nous pourrions ainsi évoquer :
- L’interdépendance : cela reflète le degré auquel la sécurité d’un réseau informatique est affectée par la compromission d’un autre système et/ou réseau.
- Les risques systémiques favorisés par la puissance de l’économie d’échelle dans le cyber. Ce risque est caractérisé par l’ampleur des conséquences d’un évènement. De plus, ce risque principalement exogène peut être favorisé par des actions endogènes comme l’utilisation d’un produit déjà très répandu. Pour donner quelques exemples :
- Un logiciel largement répandu qui serait vulnérable peut faire l’objet d’une attaque par une seule source et toucher un très grand nombre d’entreprises simultanément.
- Un fournisseur de service (cloud, entrepôt de données …) peut avoir une situation majoritaire sur son marché et en cas de défaillance impacterait le marché dans sa globalité.
- La défaillance d’une infrastructure majeure (câbles sous-marins ou backbone, serveur de l’ICANN, …).
- L’asymétrie de l’information : cela reflète l’aléa moral (changement de comportement vis-à-vis d’un risque quand l’entreprise est couverte) et les problèmes de l’antisélection (seuls ceux qui sont mal protégés s’assurent). Les assureurs font face à un risque technique en perpétuelle évolution et à des stratégies d’attaques multiples et polymorphes avec des acteurs dont les motivations sont diverses. Chaque entreprise pourrait se faire une idée sur ses menaces mais il serait difficile, sur le plan économique, de les relater fidèlement à un assureur via un questionnaire ou un audit ou lors d’une visite du risque.
