Cyber-résilience

Pourquoi la cyber-assurance n’est pas adaptée aux PME, ETI & Collectivités Publiques

Le secteur de la cyber-assurance arriver a-t-il à l'équilibre lui permettant inclusion, protection et rentabilité ?

Chers dirigeants, chers RSSI de PME, ETI, Collectivités Publiques, l’heure est grave : la cyber-assurance n’est plus faite pour vous.

Ne comptez plus sur ce produit pour vous remettre d’une crise majeure lorsqu’une cyber-attaque d’ampleur viendra frapper à votre porte.

Un constat mitigé sur le marché de la cyber-assurance

En Juin 2022 paraît la seconde édition de l’étude menée par l’AMRAE, intitulée « LUCY : Lumière sur la Cyber-assurance ».

Menée grâce aux informations fournies par les courtiers spécialistes de l’assurance d’entreprise, l’étude fournie une vision large, factuelle et chiffrée, sur l’année passée pour le marché de la cyber-assurance.

Dès les premières pages, une information nous frappe : 11 grandes entreprises françaises auraient refusé de se réassurer. C’est un signal extrêmement fort, loin d’être anodin. Pourquoi ? Comment ?

En 2022, lorsque l’intégralité des cabinets de conseil et des bureaux d’études n’ont qu’une seule phrase à la bouche : « La question n’est plus Qui ni Comment, mais Quand la cyberattaque aura lieu ? », comment se fait-il que 11 des plus grandes entreprises françaises refusent d’assurer le cyber-risque ?

Et surtout, quelles seront les conséquences d’un tel retrait sur la pérennité du secteur et sur les actuels et futurs assurés ?

L’étude LUCY de l’AMRAE

Les chiffres que nous remonte l’étude sont équivoques.

Nous pourrions débattre des heures sur beaucoup d’entre eux mais voici quelques-uns qui nous semblent pertinents de partager en amont.

Bien que, contrairement à l’année précédente, le marché de l’assurance soit d’après l’étude rentable en 2021 de 21M€, nous observons par rapport à 2020, malgré le retrait de 11 grandes entreprises :

Une hausse des primes collectées : 185M€ vs 130M€
Une baisse des sinistres couverts : 217M€ vs 164M€

Les taux de primes augmentent en moyenne :

+100% pour les grandes entreprises
+56% pour les ETI

En parallèle, les franchises moyennes atteignent de nouveaux records :

4 M€ pour les grandes entreprises
228 000 € pour les ETI

Le montant total des indemnisations représente essentiellement (96,2%) de l’assistance à la gestion de crise/Pertes d’exploitation, afin de répondre à des sinistres très majoritairement « malveillants » (461 vs 27 « accidentels »).

Le nombre d’ETI assurées passe de 441 à 530 mais l’indice Sinistre/Prime monte à 261%.

Les petites entreprises affichent un indice de 325%.

Les grandes entreprises voient leur indice redescendre de 190% à 58%, elles qui représentent aujourd’hui 82% du volume des primes versées.

Les conditions de souscription se durcissent et les capacités souscrites ont baissé de 21,47%, ce qui a pour conséquence un recul de la couverture assurancielle.

La cyber-assurance deviendrait-elle réservée à quelques heureux élus ?

Un secteur très majoritairement financé par les grandes entreprises

Un contrat de cyber-assurance cohérent : le graal ?

Au vu du déficit de 2020, les cyber-assureurs sont devenus frileux et ont appliqué des mesures drastiques auprès des clients.

Les grandes entreprises ont pu suivre mais le retrait de 11 d’entre elles ne laisse rien augurer de bon, au regard d’un marché qui devrait être en croissance.

L’indice S/P sur les ETI et les Petites Entreprises, supérieur à celui des grandes entreprises en 2020, laisse présager que ces organisations doivent s’attendre à des mesures correctives en 2022.

Pour cause, un de nos clients ETI nous a confié que son courtier lui laisse subtilement entendre qu’il aimerait bien que son entreprise arrête la souscription.

Alors que celui-ci met tout en œuvre pour la prévention du risque cyber !

Malgré la défiance qui se crée vis-à-vis des offres d’assurances cyber, notamment par la hausse des primes (tendance qui risque de ne pas s’inverser) et la diminution de la couverture (notamment sur la gestion des crises ransomwares), la demande reste présente.

Quelle conclusion pouvons-nous tirer lorsque nous observons un besoin fort qui ne trouve pas de réponse, les RSSI en venant presque à quémander des devis aux assureurs ?

Cette demande correspond-elle explicitement à un besoin de couverture financière par l’assurance, ou plus simplement d’un besoin d’accompagnement et de garanties pour les risques résiduels face à une attaque cyber ?

Ce besoin d’accompagnement serait-il alors financier, ou bien opérationnel ?

De quoi les entreprises ont-elles besoin en priorité : maintenir l’activité à tout instant ou se faire rembourser les pertes d’exploitation ?

Si l’activité peut être maintenue malgré un ransomware, pourquoi vouloir se faire rembourser les pertes d’exploitation ?

Également, concernant le montant des franchises, celle des grands comptes est de 4M€ en moyenne, 200 000€ pour les ETI.

Ces chiffres m’étonnent, mais je suis sans doute influencé . Un de nos client PME a une franchise de 1M€ en 2022, elle a augmenté de 100% par rapport à 2021, alors qu’elle était déjà au montant ahurissant de 500 000€ !

La couverture des cyber-incidents fréquents n’est absolument plus un sujet avec une telle franchise.

Il semblerait alors que le marché de la cyber-assurance se spécialise sur la couverture de perturbations majeures issues de la cyber malveillance auprès des entreprises.

Pourtant, face à la menace grandissante, pourquoi certains acteurs devraient être exclus, exempté de solutions pour garantir la pérennité de leur activité ?

Comme l’indique le rapport de l’AMRAE, « (les ETI) sont pourtant des acteurs clés de la résilience de notre économie et de nos territoires. ».

Il en va de la survie de notre économie de comprendre les besoins de ces acteurs et de leur fournir la protection nécessaire, cohérente face aux risques et abordable financièrement.

La maturité face au risque cyber doit augmenter

Nous comprenons la volonté des Directeurs Généraux, des Directeurs Financiers et des Risk Manager d’avoir recours à l’assurance pour faire face aux sinistres.

Ce sont des méthodes qui ont porté leurs fruits et sauvés par le passé plusieurs organisations de la faillite.

Mais comment réagir maintenant que les assureurs deviennent frileux et rendent l’accès à leurs produits de plus en plus difficiles ?

Alors que le risque cyber grandit d’années en années, prenant aujourd’hui la 2e place du classement des risques émergents établi par le « Future Risk Report » d’Axa, derrière les risques climatiques.

Les PME et ETI sont des cibles de choix car ces organisations sont plus exposées et n’ont pas les mêmes moyens de prévention que les grandes entreprises.

Le Security Navigator 2022 d’Orange Cyber Défense est clair là-dessus : les attaques ciblent aujourd’hui majoritairement les PME et ETI.

Nous ne prendrons ici volontairement pas le ton policé d’un assureur : il devient urgent pour les organisations de commencer à réfléchir le risque cyber. La direction doit porter le sujet de la cyber-résilience.

Le risque cyber n’a jamais été la seule responsabilité du responsable informatique : c’est à la direction générale d’assumer ses responsabilités concernant la pérennité de l’activité.

Produire, Livrer, Facturer.

Aujourd’hui, les outils permettant la production, la livraison, la facturation, sont connectés à internet. Et sont, de fait, exposés.

La résilience de votre activité métier dépendra de la résilience de votre activité informatique.

Il devient alors urgent, face aux défauts de l’assurance, de s’assurer techniquement et opérationnellement. Réduire la probabilité du sinistre et son impact peut se résumer à augmenter la maturité de l’organisation face au risque.

Pour le cas du cyber-risque, la direction générale doit contribuer à augmenter la portée du discours de prévention. Le service informatique porte aujourd’hui ce discours. Ce dernier doit en parallèle continuer à gagner en maturité sur la préparation et la réponse aux incidents de sécurité.

Ne nous voilons pas la face : les cyber assurances ne vous sauverons pas d’un ransomware.

Pour vous sauver d’un ransomware, vous n’avez pas besoin d’une assurance qui vous enverra balader car vous n’avez pas mis à jour tel ou tel serveur. Vous n’avez pas non plus besoin d’une équipe d’assistance à 100 000km qui vous parlera en anglais.

Vous avez besoin d’un partenaire de confiance qui connais votre infrastructure. Vous avez besoins des bons réflexes.

Vous avez besoins de vos données.

Ce que vous devriez faire dès maintenant :

Identifier un prestataire qui peut vous aider à réagir en cas de cyber crise, qui connait votre infrastructure et comprends votre métier
Augmenter la maturité de votre entreprise face à une cyber crise et les outils afférents
Mettre en place un plan de secours basé sur une donnée étanche, immuable, froide, etc…

Les PME et ETI doivent prendre en charge le risque cyber

Depuis la nuit des temps (dès l’invention du feu ?), les polices d’assurances ont su accompagner les entreprises face aux sinistres.

Avec la montée en puissance des acteurs malveillants dans le cyberespace, les assureurs ont du mal à commercialiser des produits rentables et performant tandis que le risque résiduel transmis à leur charge par les entreprises reste trop important.

Les PME et les ETI sont les cibles principales.

En conséquence, elles doivent s’assurer techniquement et opérationnellement afin de :

Réduire la probabilité du risque
Minimiser l’impact d’un sinistre
Pallier les manques des assureurs

Une fois le risque résiduel pris en charge par les entreprises et le bon équilibre risque/profit trouvé par les financiers, alors enfin peut-être verrons-nous un marché de l’assurance cyber pérenne.

Il est temps aujourd’hui de prendre conscience que le risque cyber ne sera endigué qu’avec une prise de conscience collective, une culture risque d’entreprise portée par des actions concrètes de formation théorique et pratique, appuyé par des outils et des partenaires pertinents et compétents.