ratio sinistre prime

ETI – Comment devenir et rester Cyber Assurable ?

8 septembre 2022 - by Infoclip

L’augmentation des attaques aboutit à une dégradation de l’offre sur le marché de l’assurance qui peine à trouver un modèle économique. Assurer une ETI en 2021 n’était pas rentable pour les assureurs qui ont augmenté depuis le taux de prime et durci les conditions de souscription. Cet article a pour ambition de proposer aux acteurs économiques 6 mesures essentielles pour aboutir à un dialogue de confiance durable avec les assureurs.

Un marché de l’assurance en panne de modèle économique

Les attaques cyber ne cessent d’augmenter et les entreprises françaises peinent à faire face à des pirates toujours plus experts. Dans ce contexte, l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), constate une dégradation des conditions contractuelles pour les ETI qui se voient proposer des réductions de garantie pour des tarifs de plus en plus élevés.

L’AMRAE a récemment publié sa seconde étude LUCY sur l’adoption de l’assurance cyber par les entreprises. Cette analyse s’appuie sur les retours de 7 courtiers en France couvrant 2028 entreprises ou organisations ayant souscrit à ce type d’assurance. Ces courtiers sont AON, Diot-Siaci, Filhet Allard, Marsh, Verlingue, Verspieren et WTW. Le Syndicat des courtiers d’assurance, Planète CSCA et la mutuelle SMABTP ont également participé à cette étude.

Si cet article s’intéresse particulièrement aux ETI, l’étude LUCY constate une tendance similaire pour les PME bien que les chiffres soient moins précis.

En substance, l’AMRAE constate une crise de confiance entre assureurs et ETI qui n’ont pas la même vision des risques. Depuis quelques années, les assureurs ont expérimenté les conséquences financières que peut avoir une attaque cyber et sont devenus plus lucides sur les montants en jeu. L’étude de l’AMRAE va dans ce sens et constate un ratio Sinistre/Prime (S/P) de 261% pour les ETI en 2021. Cela signifie que le montant des sinistres indemnisés par les assureurs a dépassé celui des primes versées par les ETI assurés. Le marché de l’assurance cyber n’était donc pas rentable pour les assureurs en 2021.

ratio sinistre prime

Ratio Sinistre/Prime pour les ETI (Source : Étude LUCY menée par l’AMRAE en 2020 et 2021).

Pour comprendre les enjeux financiers des risques cyber, il suffit de dresser les coût directs et indirects liés à une cyber-attaque. Les couts directs sont :

  • les services d’enquête technique et de sécurisation des données post-incident facturés par un prestataire en cybersécurité ;
  • la notification de l’incident aux clients ainsi qu’à la CNIL et aux personnes concernées en cas de violation de données à caractère personnelle ;
  • les frais en relations publique visant à préserver l’image de l’entreprise à la suite d’une violation de données ;
  • la sanction et la mise en conformité si une autorité, notamment la CNIL, a constaté des écarts ;
  • le versement de dommage et intérêt en responsabilité civile, les honoraires d’avocats et les frais de justice liés à la défense des intérêts de l’entreprise ;
  • le paiement d’une éventuelle rançon et les frais d’acquisition d’un portefeuille de cryptomonnaie.

Les coûts indirects sont dus à :

  • la perturbation ou l’interruption des activités qui peuvent durer plusieurs mois ;
  • la perte de propriété intellectuelle et de secrets d’affaires lorsqu’ils n’ont pas fait l’objet de protection particulière ;
  • l’atteinte à l’image de l’entreprise qui peut se concrétiser par la résiliation de contrat par les clients qui n’ont plus confiance en l’entreprise ou par la dépréciation de la valeur de l’entreprise en cas de fusion ou de rachat.
  • l’augmentation du cout de la dette à la suite d’une baisse de la cote de crédit, d’une hausse des taux d’intérêt pour les capitaux empruntés, ou lors de la renégociation de la dette existante ;
  • l’augmentation des primes d’assurance (s’il y en a une).

La réévaluation de l’ensemble de ces coûts par les actuaires a donc naturellement abouti à 3 conséquences :

  1. la première est une augmentation du montant des primes et de la franchise ainsi qu’une réduction de la couverture de l’assurance ;
  2. la seconde est un montant de franchise moyen à 228.000 € ;
  3. la troisième est la résiliation ou le refus de contrat par les assureurs.

Des taux de prime en forte hausse

 Des taux de prime en forte hausse (Source : Étude LUCY 2022 menée par l’AMRAE)

 

Des niveaux de franchise inédits

Des niveaux de franchise inédits (Source : Étude LUCY 2022 menée par l’AMRAE)

En contraste, les ETI n’ont, dans l’ensemble, pas suffisamment investi pour couvrir les risques liés à l’exploitation de systèmes d’information toujours plus complexes.

 

ETI :  6 mesures à suivre pour prétendre à une assurance cyber 

Pour s’assurer contre les risques de cybersécurité, les ETI doivent créer les conditions durables d’un dialogue précontractuel de confiance avec les assureurs. Pour ce faire, elles devront démontrer une stratégie et des investissements significatifs dans la prévention des risques cyber. Voici 6 mesures que les ETI doivent appliquer avant même de prétendre à une assurance :

  1. La mise en place d’une politique de Sécurité des Systèmes d’Information (PSSI) : 

Cette étape souvent montrée du doigt pour son formalisme a l’avantage de réunir les parties prenantes de l’organisation pour poser les objectifs de sécurité de l’organisation qui seront validés et portés par la direction. Pour toute ETI, c’est le point de départ qui déterminera les futures négociations avec l’assureur.

  1. Un scan des vulnérabilités des systèmes d’information : 

De nombreuses violations de données sont le résultat de vulnérabilités non corrigées. En effet, les cybercriminels raisonnent de façon rationnelle : ils utilisent également des scanners pour trouver des opportunités d’accès et exploitent à moindre coûts des vulnérabilités connues. L’entreprise doit passer en revue ses systèmes d’information par le biais de scans réguliers pour démontrer à l’assureur qu’il a procédé à des vérifications préalables.

  1. Une démarche de gestion des risques en cybersécurité : 

Cette démarche va permettre à l’organisation de prendre conscience de son exposition et de la mesurer. Cette étape suppose une introspection technique et organisationnelle par l’ETI pour déterminer sa résilience. Ce n’est qu’à l’issue de mesures préventives et de mesures de mitigation qu’un risque résiduel pourra être évalué et transféré à l’assureur.

  1. La mise en place d’un SOC :  

Le SOC (Security Operations Center) est une équipe de personnes, parfois externalisée, qui se concentre sur la surveillance des menaces et la qualification des incidents. Les analystes qui la composent utilisent un outil, le SIEM (Security Information Management System) qui intègre des logiciels utilisés pour surveiller les infrastructures des entreprises.

  1. La mise en place d’un EDR :  

Complémentaire au SIEM, l’EDR (Endpoint Detection and Response) est une ligne de défense indispensable en cas de cyber attaque. Cet outil va permettre de faire une analyse comportementale sur les postes de travail et les serveurs. Comme un anti-virus nouvelle génération, l’EDR peut bloquer, mettre en quarantaine ou supprimer des fichiers suspects. Mais il va plus loin en faisant des corrélations qui seront remontées via une plateforme centralisée. Derrière la plateforme, le SOC aura toute la visibilité pour pouvoir investiguer.

  1. La sensibilisation des collaborateurs : 

Alors que l’humain est souvent décrit comme le maillon faible de la sécurité, il peut être un acteur clé dans la détection des menaces. La sensibilisation et la formation sont des mesures organisationnelles qui vont démontrer aux assureurs une posture collective sur le sujet ainsi qu’une complémentarité entre la Direction des ressources humaines et la Direction des Systèmes d’Information.

Conclusion : 

« Une stratégie de maîtrise du risque cyber doit reposer sur deux jambes : la prévention et le transfert du risque au marché de l’assurance » conclut l’étude L’AMRAE. La forte augmentation des sinistres cyber démontre que les ETI doivent s’engager davantage dans la prévention. En 2023, deux catégories d’ETI apparaitront. Les premières n’auront toujours pas conscience de leur retard et ne pourront pas négocier avec un assureur. Les autres auront investi dans leur résilience et seront en capacité de démontrer de façon transparente leurs engagements en matière de sécurité.

Vous souhaitez comprendre et gérer votre risque résiduel pour devenir Cyber Assurable ?