Image

Assurance cyber risques à l’heure du Covid-19 : une assurance plus que jamais d’actualité

Affaires - Assurance
20/05/2020
La multiplication des attaques informatiques contre les entreprises pendant le confinement a souligné avec force la nécessité de développement de l’assurance contre les risques informatiques. Bien identifiée, la préoccupation n’est pourtant pas nouvelle - ce qu’attestent notamment les travaux du gendarme des assurances françaises.
 
Quel est le point commun entre les sociétés telles que Fleury Michon, Airbus, M6 ou encore Accord ? Toutes ces grandes entreprises ont été victimes d’au moins une attaque informatique au cours de l’année 2019. Les statistiques le prouvent : huit entreprises sur dix en France en ont été concernées l’année dernière.

La taxonomie des attaques informatiques est riche : hameçonnage, attaques DDOS, malware, rançongiciel, fraude au président… la liste est longue. Les causes sous-jacentes du phénomène sont la complexification des environnements numériques, l’interdépendance et l’interconnexion des services (elles-mêmes les épiphénomènes de changement de paradigme économique en cours dans les sociétés occidentales). En d’autres termes, avec l’accélération de la numérisation de l’économie, les attaques ne font que se multiplier, ce qui par conséquent augmentera le besoin en protection assurantielle appropriée.

La crise sanitaire actuelle n’arrange rien : avec l’intronisation du télétravail comme outil privilégié de distanciation sociale, le nombre d’échanges informatiques a explosé. Par corolaire, le nombre d’attaques informatiques a augmenté considérablement, rendant les entreprises vulnérables aux virus. Et à l’instar du coronavirus, certains de ces virus informatiques ont un caractère global, systémique.

Les plus connus ces dernières années, les rançongiciels « WannaCry » et « NotPetya », ont touché en 2017 des centaines de milliers d’ordinateurs à travers le monde. Ce côté systémique potentiel fait ressurgir les mêmes difficultés en termes de couverture que présentent les risques climatiques : en effet, le déclenchement de plusieurs centaines voire milliers de polices en même temps rend les assureurs peu enclins à offrir ces protections, par crainte de déstabilisation financière.

Même en dehors de la crise actuelle, la montée en puissance du marché des risques informatiques est connue, notamment à travers les prévisions à court et moyen terme du cabinet Deloitte. Selon ce dernier, fin 2020, le marché des assurances cyber atteindra six milliards d’euros tandis qu’à l’horizon 2025 le cap de 23 milliards sera atteint. Ce rapport-synthèse procède ensuite à une identification des divers risques cyber et apporte des conseils quant au développement des couvertures correspondantes.

Cette croissance exponentielle s’accompagne d’une prise de conscience des assureurs, des assurés et des autorités de contrôle qui chapeautent le secteur. En France, c’est l’Autorité de contrôle prudentiel et de résolution (ACPR) qui est chargée d’apporter sa pierre à l’édifice. Suite à la consultation publique lancée en 2018, l’ACPR a publié un document de réflexion l’année qui suit sur le risque informatique dans lequel elle élabore « une définition et une catégorisation du risque informatique ».

Par un communiqué de presse du 12 novembre 2019, elle constate des lacunes dans les garanties proposées sur le marché français tout en identifiant les axes d’amélioration possibles. Attestant de l’importance du sujet, l’ACPR place la cyber-assurance dans « ses priorités de contrôle ». Cette autorité constate notamment une grande variété des assurances cyber proposées sur le marché français, se présentant soit sous forme des garanties explicitent, soit sous forme des couvertures implicites. Pour ses dernières en particulier, l’ACPR identifie un besoin d’évaluer « l’exposition du portefeuille au risque cyber ». Trois autres axes d’amélioration incluent la clarification des définitions et la terminologie relative aux risques ; les constructions progressives des bases statistiques et la sensibilisation des acteurs à ce risque « émergeant ».

Cette prise en compte multilatérale des risques cyber devrait aboutir à terme à une amélioration d’offre des garanties proposées tant le besoin est présent et le marché florissant. Il ne reste qu’à espérer que la crise épidémique actuelle servira de tremplin à une croissance qualitative et quantitative plus soutenue de couverture des risques informatiques sans que les petites et moyennes entreprises – les moins couvertes – ne restent à la marge.
 
Source : Actualités du droit