Si la criticité du risque cybernétique est aujourd'hui au cœur des préoccupations de tous les acteurs économiques, la complexité technique de ce risque et l'évolution constante de la menace continuent de rendre difficile la création de produits d'assurance adaptés aux besoins des clients et rentables pour les assureurs.

Compte tenu des enjeux parfois vitaux auxquels sont confrontés les acteurs du marché, il est nécessaire de répondre à la question épineuse de l'assurabilité des cyberrisques.

Pour ce faire, la connaissance de la menace et la quantification financière doivent se conjuguer pour élaborer des scénarios crédibles sur lesquels fonder les modèles d'assurance qui permettront aux parties prenantes de se mettre d'accord.
Accuracy associe ses compétences en matière de modélisation financière à la technologie de quantification des risques issue de l'analyse dynamique de la cybermenace réalisée par Citalid, afin d'éclairer la prise de décision de ses clients dans ce domaine critique.
La cyber-assurance est apparue au début des années 2000 et s'est considérablement développée depuis, passant de la couverture des risques liés aux virus et à la perte de données à la responsabilité civile et aux pertes d'exploitation.

Si le marché mondial de l'assurance contre les cyber-risques, qui représente aujourd'hui environ $9 milliards, est essentiellement capté par le marché américain, le même risque vise les acteurs européens qui, de ce fait, ont les mêmes besoins d'assurance. Cependant, la sinistralité élevée en 2020 dans le contexte d'une base de clientèle très étroite a conduit les assureurs à durcir leurs conditions de manière générale, voire à retirer certaines offres. En 2021, le marché français du risque cyber représente environ 220 millions d'euros de chiffre d'affaires, soit 3,1% de dommages aux biens
des primes d'assurance des professionnels, évaluées à 7 milliards d'euros sur la même période, et 0,35% du chiffre d'affaires des assurances de biens et de responsabilité. Ce faible niveau de couverture ne concerne que 0,2% des PME, contre 9% des entreprises de taille intermédiaire et 84% des grands groupes. Pourtant, les PME sont les plus exposées au cyber-risque ; les indicateurs disponibles tendent à montrer que 60% des PME font faillite dans les 18 mois qui suivent une cyber-attaque.

Le besoin d'une cyber-assurance existe, mais de nombreux facteurs entravent son émergence.

Tout d'abord, les cyberattaques semblent difficiles à prévoir et à comprendre. Elles peuvent en effet être entreprises de manière très sophistiquée et les modes opératoires sont en constante évolution. La modélisation de scénarios de risque crédibles est donc un exercice complexe.

Deuxièmement, le coût des dommages causés par une cyberattaque peut être considérable et comprend souvent des pertes financières, des pertes d'emploi et des pertes de revenus.
propriété intellectuelle, violation des données personnelles, atteinte à la réputation, etc. La quantification financière des scénarios de risque est rendue d'autant plus complexe par la multiplicité des paramètres.

Troisièmement, les réglementations en matière de cybersécurité varient d'un pays à l'autre, ce qui rend difficile la création de produits d'assurance standardisés pour les entreprises internationales. Les assureurs doivent également se conformer aux réglementations en matière de protection des données personnelles, ce qui les rend plus vulnérables aux poursuites judiciaires en cas de violation de la vie privée.
Enfin, la maturité cybernétique des entreprises devant être assurées dépend de nombreux facteurs, en particulier de leurs systèmes informatiques et de leurs politiques et procédures internes, ainsi que du comportement des utilisateurs de leurs systèmes. L'évaluation de ces critères - qui n'est pas une tâche facile en soi - peut souvent être entravée par la réticence naturelle des entreprises à partager les détails de leur infrastructure informatique et de leurs politiques de sécurité. La détermination du niveau d'exposition au risque et des primes de risque correspondantes n'est donc pas seulement une tâche standardisée.

Alors que le marché de l'assurance cyber peine à trouver son modèle face à (i) un risque difficilement définissable et dont l'impact est difficile à appréhender, (ii) une base de clients assureurs en construction et (iii) un environnement réglementaire mouvant, il est urgent de l'éclairer par des scénarios de risques crédibles et une quantification financière solide. C'est l'objectif des travaux d'Accuracy en partenariat avec Citalid : ils visent à identifier des scénarios d'attaques en précisant leur fréquence et l'ampleur des pertes encourues, au regard de la vulnérabilité de l'entreprise considérée, grâce à l'analyse de la maturité cyber de l'entreprise et du marché sur lequel elle opère.

Les informations objectives et quantifiées issues de ces travaux doivent permettre à l'entreprise qui cherche à s'assurer ou qui souhaite évaluer la qualité de sa couverture d'identifier la solution la plus appropriée à sa propre configuration. Inversement, pour l'assureur, elle contribue à la construction d'offres pertinentes et pérennes, ainsi qu'à l'évaluation de l'assurabilité des clients.

Arthur Couvreur - Administrateur - Accuracy