Malgré une forte augmentation du nombre d’incidents informatiques, le marché de l’assurance cyber progresse timidement. Ce marché continue à gagner en maturité et un certain nombre de nouvelles couvertures d’assurance cyber sont en cours de lancement pour mieux palier les insuffisances des premières approches. Les premières déclarations de sinistres interrogent sévèrement les offres opportunistes.
Nous conseillons les entreprises de mieux comprendre les risques cyber auxquels elles sont confrontées puis construire une approche personnalisée et intégrée pour répondre à leurs besoins.
En 2018, les risques cyber se sont considérablement accentués dans l’ensemble de l’économie. Les nouvelles attaques ont rempli les colonnes des journaux avec une régularité inquiétante. Le plus alarmant, c’est que ces incidents ne sont que la partie visible de l’iceberg des cyber-risques. Les dirigeants de tous les secteurs considèrent que les attaques sont de plus en plus sophistiquées avec souvent le sentiment que leurs organisations sont mal préparées.
Une partie considérable des entreprises avait subi au moins une cyberattaque dans le passé récent. Ces entreprises redoutent, pour la majorité écrasante, les événements suivants :
- Interruption des systèmes informatiques
- Vol de données sensibles
- Violation des données personnelles
- Extorsions et Ransomware
Dans un tel contexte, l’assurance des risques cyber devrait être un des sujets majeurs mais la plupart des entreprises diffèrent la souscription de telles couvertures. Cette prudence est justifiée, car les couvertures cyber constituent un produit nouveau non testé. De notre expérience, de nombreuses polices standards examinées ne répondent pas aux besoins des clients pour lesquels elles ont été vendues. Elles souffrent de nombreuses limitations et ne garantissent pas une protection complète.
D’ailleurs peu de RSSI et de CRO estiment que les organisations pour lesquelles ils travaillent disposent d’une couverture d’assurance adéquate contre les cyberattaques. Ils comprennent parfaitement le caractère attentiste des dirigeants pour souscrire une police. Les raisons majeures évoquées pour expliquer ce fait sont :
- Inadéquation des couvertures aux besoins : les couvertures sont souvent limitées aux événements déclenchés par des attaques ou une activité non autorisée et excluent des problèmes causés par des erreurs ou des omissions accidentelles. Par exemple, lorsque les sous-traitants sont à l’origine d’un incident et que l’entreprise est légalement responsable, les polices ont du mal à suivre !
- Manque de confiance envers les assureurs pour payer les sinistres : lors d’un incident, les entreprises sont souvent limitées dans le choix de leurs prestataires. Les polices ‘imposent’ les spécialistes en informatique, en relations publiques ou en droit référencés par l’assureur.
- Primes élevées des polices « sérieuses » : la course vers la réduction agressive des primes dans l’ensemble du secteur engendre une focalisation accrue sur les solutions standard. Ceci dit, d’une part les nouvelles réglementations créent des défis spécifiques que le secteur des assurances n’a pas les capacités techniques pour surmonter de manière constante et d’autre part, la rédaction des polices sur-mesure peut être complexe et onéreuse.
La maturité du marché et des couvertures cyber progressent de manière continue. Cette maturation pourrait être ralentie par des approches opportunistes de quelques assureurs. Les risques croissants auxquels sont confrontées les organisations et leur volonté de dépenser des sommes considérables pour se protéger contre cela présage d’un marché porteur à construire.