Cyberassurance : les assureurs ne couvrent pas encore leurs frais

Rédactrice passionnée depuis plus de de 15 ans. Sara vous trouve les dernières infos

La protection contre la cybercriminalité est devenue incontournable pour toutes les organisations, mais les assureurs ont encore du mal à rendre le produit rentable en raison du nombre croissant de réclamations.

Peter Keryakes, directeur des risques financiers Est du Canada chez Chubb Canada depuis 2020, était l’un des invités de l’Institut d’assurances dommages du Québec au Rendez-vous Québec qui s’est tenu fin mai. Il travaille au sein de la compagnie d’assurances depuis 2017.

M. Keryakes a fait le point sur le marché de la cyberassurance en 2022. Selon lui, 2019 a vu l’arrivée de nouveaux vecteurs d’attaque qui sont devenus très courants au début de la pandémie et ont pris de l’ampleur avec l’expansion du travail à distance.

Déjà en 1998, l’assureur proposait le premier produit d’assurance cybersécurité et il était destiné uniquement aux institutions financières. « Personne ne l’a acheté. Il a fallu 10 ans avant qu’un client ne le demande. On pourrait dire que nous étions en première ligne », a-t-il déclaré.

La première préoccupation était la protection des données personnelles des clients et des tiers. Progressivement, la détection obligatoire des intrusions informatiques a été mise en place d’une province à l’autre.

La responsabilité civile pour les dommages liés à ces violations a donc été la première garantie offerte en matière de cybersécurité. Si le courtier ne l’offrait pas à ses clients, cela pourrait même être considéré comme faisant partie des risques non couverts par sa police erreurs et omissions.

La dépense en double 

La dépense en double 

Le marché de la cyberassurance s’est développé en 2017, soit en tant que complément aux polices existantes, soit en tant que produit distinct adapté aux besoins des clients. Lire aussi : Cherbourg en Cotentin. Roule sans assurance, sans casque homologué et sous l’emprise de stupéfiants.

Dans les premières années, les pirates utilisaient ces violations pour voler des informations personnelles, puis les revendre à des réseaux criminels.

Depuis, ils ont appris à profiter doublement de leurs méfaits. Les «  Hackers  » sont maintenant passés en mode d’extorsion directe. Ils cryptent les données et font une demande de rançon initiale pour les remettre à la victime du piratage et lui permettre de reprendre ses opérations normales. Ils effectuent alors une autre demande de paiement afin de ne pas fournir les mêmes informations aux réseaux criminels.

La cybercriminalité « est devenue un business très rentable, avec des employés bien payés et de bonnes conditions », et par conséquent, a rendu ce marché beaucoup moins rentable pour les assureurs, dit-il.

Dès 2019, Lloyd’s of London a imposé à ses syndicats membres d’inclure une exclusion cybercriminalité dans les garanties proposées en assurance dommages aux biens. Cela a augmenté la demande de produits de cyberassurance.

Les conditions sont devenues plus contraignantes. Or, en droit des affaires, les contrats prévoient que les parties doivent bénéficier de cette protection. Les institutions financières l’exigent également avant d’accorder un prêt.

Prospection téléphonique : la DGCCRF alourdit ses sanctions en 2021
Lire aussi :
appel à froidRèglements Emploi A l’occasion de la présentation de son rapport…

Des obstacles 

Des obstacles 

Adviser Partner Re mesure le niveau d’intérêt et de connaissance des assurés vis-à-vis de la cyber-assurance. De cette façon, nous pouvons mieux comprendre les obstacles à l’abonnement à un produit.

Selon les chiffres présentés par M. Keryakes, environ 70 % des répondants disent ne pas comprendre les facteurs de risque, 57 % déclarent ne pas comprendre la nature de la garantie offerte et 50 % ne connaissent pas les facteurs qui déterminent la prix du produit. Enfin, 40% jugent le processus de souscription trop compliqué. « En 2019, la cyberassurance était difficile à vendre. En 2022, elle est difficile à acheter », a-t-il déclaré.

« Chez Chubb, on voit trois catégories d’entreprises : la première, ce sont celles qui sont attaquées et qui ne le savent même pas. D’autres sont des entreprises attaquées. Les troisièmes sont ceux qui seront attaqués », ajoute M. Keryakes.

À Lire  Une semaine d'actualité sanitaire et sociale - Édition du 01/08/2022

Le fait de subir un sinistre non assuré, ou de connaître quelqu’un qui en est victime, est l’un des principaux déterminants de la souscription d’une cyber-assurance. Disposer de cette police permet d’accéder rapidement aux principaux fournisseurs de cybersécurité, poursuit-il.

Les courtiers sont de plus en plus à l’aise pour expliquer la garantie. «  Je le vois dans mon abonnement en fonction des questions que l’on me pose. J’ai dû expliquer le produit avant. Je parle maintenant au directeur informatique pour vérifier la qualité des contrôles en place dans l’entreprise », note Peter Keryakes.

L’authentification multi-facteurs, la segmentation du réseau et la mise en place d’antivirus de nouvelle génération sont désormais des exigences courantes des assureurs. Il souligne que le Centre canadien de lutte contre la cybercriminalité a créé un guide traitant spécifiquement des rançongiciels.

A voir aussi :
Assurance vie Depuis quelques jours, la plateforme Monaliza propose l’Assurance PER avec…

Sinistralité 

Sinistralité 

M. Keryakes a ensuite cité plusieurs statistiques tirées du Chubb Cyber ​​​​​​Index, qui est accessible à tous sur le web et fournit des données sur l’évolution du marché. « La cybersécurité est un écosystème et il est très important de partager l’information  », dit-il.

Vous pouvez trouver des données sur la fréquence et la gravité des demandes d’indemnisation par type d’industrie ou par taille de revenu d’entreprise. L’année de référence est 2017, car c’est à ce moment-là que les réclamations prennent de l’importance.

Les services professionnels (30,7 %) et la production (13,6 %) sont en tête du nombre de sinistres en 2021, comme ce fut le cas au cours des trois années précédentes.

Plus du tiers des poursuites (34,2 %) ont été intentées par des entreprises dont les revenus sont inférieurs à 25 millions de dollars (M$) par année. La catégorie de 25 à 150 millions de dollars représente 27,3 % des demandes.

Ces deux groupes, qualifiés par l’expert de « PME », représentent plus de trois plaintes sur cinq adressées aux assureurs concernant la cybersécurité. « La fréquence est en fait dans les petites et moyennes entreprises  », dit-il.

Depuis 2012, la fréquence des attaques a augmenté de 800%, toutes tailles confondues, mais l’augmentation atteint 1600% pour les plus petites entreprises. Dans ces « PME », la gestion des technologies de l’information et de la communication (TIC) est confiée à des sous-traitants, ce qui allonge le délai d’alerte et augmente les risques de propagation d’un virus informatique au sein de l’entreprise.

Les entreprises dont les revenus se situent entre 151 et 500 millions de dollars représentent 19,7 % des réclamations. Les grandes entreprises avec plus de 500 millions de dollars de chiffre d’affaires n’ont pas été épargnées, puisqu’elles représentaient 18,8 % des sinistres en 2021. « Le sérieux est là, dans ce créneau », note M. Keryakes.

En éliminant les pertes supérieures à 5 millions de dollars de sa comparaison, Peter Keryakes souligne que le coût moyen d’un procès est de 400 000 $. Les frais de criminalistique (161 500 $) sont les dépenses les plus importantes, tandis que les centres d’appels et la notification des clients coûtent en moyenne 143 648 $.

L’expert souligne qu’il ne faut pas ignorer que parmi les clients assurés par Chubb, 20% des responsables d’attentats sont des salariés de cette compagnie.

6 mois de prison pour 6 délits à moto
Lire aussi :
Un motard cumule les délits en Haute-Saône Excès de vitesse, refus d’obtempérer,…

Responsabilité civile 

Responsabilité civile 

Une police d’assurance responsabilité civile traditionnelle ne couvrait pas l’interruption d’activité causée par une cyberattaque si le risque n’était pas couvert par un avenant distinct. Le même constat s’applique aux polices de responsabilité professionnelle (erreurs et omissions ou E&O) ou de responsabilité des administrateurs et dirigeants. Une police vol et détournement de fonds ne couvre pas non plus les pertes liées à la cybercriminalité.

À Lire  Comment choisir une assurance pour sa voiture sans permis ?

La cyberassurance est devenue un produit hybride qui comprend trois volets : la couverture erreurs et omissions pour les produits technologiques, la responsabilité des médias et la couverture contre le vol et le détournement de fonds.

L’intervention en cas d’incident implique les services d’un consultant ou d’un « coach en cas d’infraction », qui devient le premier intervenant. Souvent, cet expert est associé à un cabinet d’avocats. Les services juridiques, le suivi des dossiers de crédit à la consommation, les avis et les centres d’appels font partie de la couverture.

Les risques propres se réfèrent aux coûts de rétablissement des activités normales, y compris les coûts de restauration et de récupération des données. « La décision de payer ou non l’extorsion dépend de l’assuré  », note Peter Keryakes.

Les pertes d’exploitation liées à une interruption de service par un fournisseur tiers sont couvertes. La fraude par ingénierie sociale est un nouvel avenant proposé par un assureur qui couvre les réclamations telles que la « fraude présidentielle » ou liées au vol d’identité. La cyber assurance comprend une composante de responsabilité civile pour les dommages causés aux tiers.

Assurance : piéton ou cycliste, pensez à vous assurer ! .Fr
A voir aussi :
Outre les voitures, les piétons, les utilisateurs de vélos classiques ou à…

Potentiel de croissance 

Potentiel de croissance 

M. Keryakes estime le marché mondial de la cyberassurance à 7,5 milliards de dollars américains, Chubb détenant une part de 10 %. Environ 300 assureurs y participent, les plus importants étant AIG, Beazley, AXAXL, Zurich et Travelers.

A peine 40% des PME souscrivent une cyber assurance. « Nous avons un énorme potentiel de croissance », a-t-il déclaré.

Malheureusement, les vulnérabilités sont plus nombreuses que jamais et les assureurs peinent à adapter leurs capacités aux nouveaux besoins. La moitié des attaques informatiques ont un impact financier important sur l’entreprise visée, selon M. Keryakes.

Le marché s’est détérioré depuis 2020 en raison d’un grand nombre de sinistres très coûteux. Le taux de sinistralité est toujours supérieur à 100 % chez la grande majorité des assureurs.

Les catastrophes 

Certaines failles comportent un risque systémique élevé, comme l’application de journalisation Log4J introduite par Apache en décembre dernier.

« Un acteur malveillant distant non authentifié pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur un appareil affecté », selon le Centre canadien de cybersécurité.

Une simple mise à jour fournie par Apache ne suffit pas, car il faut aussi vérifier les logs produits par toutes les applications qui utilisent ce code Java. La cote de danger de cette faille est estimée à 10 sur 10.

Aucune catastrophe catastrophique n’a encore été découverte liée à ce bug ou à plusieurs autres, mais la présence de l’outil dans des milliers de logiciels fait craindre le pire aux experts, selon M. Keryakes.

En conséquence, les assureurs commencent à inclure les grosses pertes catastrophiques dans les tarifs de la cyberassurance, « car il faut rentabiliser ce produit dans le cadre du risque systémique », précise-t-il.

L’assureur prévoit d’ajouter prochainement des avenants à sa police hybride, qui offrira des sous-limites pour les ransomwares, les vulnérabilités logicielles négligées et les extensions d’événements généralisées. Le fléau des ransomwares est en grande partie responsable des contre-performances des assureurs.

Chubb n’offre pas encore de partage des risques de coassurance comme le font certains assureurs. « Si nous décidons de prendre le risque, nous le couvrons », déclare Peter Keryakes. Si le client estime disposer d’un niveau de sécurité suffisamment élevé, l’assureur pourrait accepter de négocier un tel partage, mais il ne le fait pas actuellement.

Les régulateurs ne demanderont jamais aux entreprises si elles ont une cyber-assurance, mais si elles ont pris toutes les mesures pour limiter les dommages causés par une violation, conclut M. Keryakes.