Cyber-assurance : quelles sont les offres sur un marché en pleine maturation ?

En 2016, les entreprises françaises ont recensé plus de 4 100 incidents cyber, soit en moyenne 11 incidents par jour, selon l’étude “The Global state of information security survey 2017” de PwC. La Fédération française de l’assurance (FFA) estime ainsi que le coût de ces événements au niveau mondial atteint 400 milliards de dollars. Face à ce risque croissant, les assureurs se positionnent. Et, la France ne fait pas exception.

Pourtant, sur ce marché estimé à 3,5 milliards de dollars en 2016, la France ne représente que 50 millions de dollars, loin derrière les États-Unis qui a eux seuls représentent un marché de 3 milliards de dollars, selon la FFA. “Le marché potentiel est colossal car très peu d’entreprises sont assurées. Pourtant, le marché n’a pas décollé. On commence seulement à parler sérieusement de ce phénomène de cyber-assurance avec une vraie offre de qualité qui est mise en place par de nombreux assureurs“, observe Benoit Salembier, président de la société de courtage spécialisée ADD-Value. C’est aujourd’hui le défi que tentent de relever les assureurs sur le marché français et notamment vis-à-vis des PME et TPE.

De nouvelles offres sur le marché

Petit à petit chacun développe une offre dédiée. Le dernier en date : Generali France, qui commercialise Generali Protection Numérique depuis le 8 mars 2017. De son côté, Allianz devrait proposer d’ici quelques mois une offre pour les PME afin de compléter celle lancée en 2016 et dédiée aux grandes entreprises, dévoile François Nédey, directeur technique assurances de biens et de responsabilités d’Allianz France. L’anglo-saxon Hiscox fait, lui, office de pionnier sur le marché français avec une offre qui a vu le jour en 2011 et qui s’adresse aujourd’hui “aux entreprises avec un chiffre d’affaires allant jusqu’à 1 milliard d’euros“, indique Astrid-Marie Pirson, directrice de la souscription.

AXA, qui propose depuis 2014 l’offre dédiée Cyber Secure, a introduit “une extension tous risques informatiques il y a une douzaine d’années“, indique Philippe Gaillard, directeur des Risques techniques entreprises d’AXA France. Quant à Gan Assurances, il a lancé simultanément deux offres pour les entreprises en fonction de leur taille en 2016. Sur le marché visant les PME et TPE, Benoit Salembier d’ADD-Value cite également la présence des assureurs anglo-saxons comme Beazley, Chubb, CNA et AIG, “qui bénéficient de leur expérience depuis plus de 10 ans sur le marché mature nord-américain.” Chacun tente d’intéresser les entreprises.

Clients et courtiers à sensibiliser

Première difficulté rencontrée : la faible sensibilité des potentiels clients pour ces produits. Selon une étude de PwC, seules 17 % des entreprises françaises se sentent exposées au risque de cyber-criminalité. Une tendance confirmée par la société Denjean & Associés qui a réalisé fin 2016 une étude sur le sujet en collaboration avec Gan Assurances. “Il y a une profonde sous-estimation des risques de cyber-attaques par les dirigeants de TPE et PME. Les trois quarts des répondants pensent que la cyber-criminalité ne concerne que les grandes entreprises et les organismes publics. Pourtant, les sources Syntec (Fédération regroupant les syndicats des domaines de l’ingénierie, du numérique, des études et du conseil, de la formation professionnelle et de l’événement, ndlr) montrent que 80 % des cyber-attaques sont concentrées sur les entreprises de type PME. Les attaques ciblent les entreprises en fonction de leur taille, plus que de leur secteur d’activité“, observe Thierry Denjean, président de Denjean & Associés. Il ajoute : “beaucoup de décisionnaires d’entreprises ignorent qu’il existe aujourd’hui sur le marché des assurances spécifiques permettant de couvrir ces risques.“

Une vingtaine de demandes de cotation chaque jour

Bernard Duterque

Directeur de la souscription des risques spécialisés chez Generali France

Thierry Denjean pointe ainsi la difficulté du secteur à faire connaître ses offres ciblées. Gan Assurances s’appuie sur une stratégie de communication en priorité vers ses clients via des emailing, des lettres d’information et depuis peu l’organisation de réunions. L’entreprise identifie ses premiers clients chez “nos 1000 agents généraux et les experts-comptables, intéressés pour eux-mêmes et pour leurs clients“, témoigne Frédéric Bourgeois, responsable du service développement marché entreprises de Gan Assurances. Chez Generali France, Bernard Duterque, directeur de la souscription des risques spécialisés se refuse à dévoiler les objectifs chiffrés mais indique avoir “des objectifs très ambitieux sur cette première année de formation des agents et courtiers et de sensibilisation des assurés et sur les trois ans à venir.” Il ajoute : “nous recevons une vingtaine de demandes de cotation chaque jour, pour tout type d’entreprises, aussi bien pour des paysagistes que pour des sociétés d’e-commerce.“

Une tarification à définir

Outre, les difficultés pour faire connaître leurs offres, les assureurs disposent de peu de retours d’expérience pour la tarification. “Les assureurs, non anglo-saxons, doivent se montrer prudents sur ce marché alors qu’ils n’ont pas vu un sinistre de leur vie“, alerte Benoit Salembier (ADD-Value). Il note par ailleurs sa préoccupation autour des tarifs : “ils ne cessent de baisser alors que les contrats s’améliorent en termes de garanties“. Les tarifs de la cyber-assurance sont en effet assez hétérogènes, allant de 270 euros à 3 500 euros par an. Pour beaucoup, le tarif varie en fonction de la taille de l’entreprise, son chiffre d’affaires mais aussi ses installations informatiques et ses activités. Une société d’e-commerce étant considérée comme plus exposée qu’une entreprise sans site Internet, par exemple.

Pour évaluer les risques, les choses évoluent et les audits des systèmes d’information ne sont plus systématiques. Les assureurs privilégient souvent des questionnaires plus ou moins long. Chez Generali, Bernard Duterque cite “un questionnaire dynamique en ligne. Limité à 8 questions pour 80 % des entreprises, il peut aller jusqu’à 18 questions. Il s’agit de questions basiques qui ne nécessitent pas de connaissance poussée en informatique.” Ces questionnaires présentent plusieurs avantages pour les assureurs. “Ils permettent d’évaluer le risque et de générer une vraie prise de conscience pour les entreprises“, ajoute Astrid-Marie Pirson (Hiscox). Philippe Gaillard (AXA) note également : “une entreprise qui met en place des outils pour réduire ses risques cyber, peut demander une adaptation de sa prime d’assurance, en mettant à jour le questionnaire d’évaluation de risques.“

S’appuyer sur des prestataires experts

Une fois les risques évalués, vient la question de la couverture offerte par ces cyber-assurances. Et avant de détailler les garanties, chacun met en avant l’assistance liée à ces contrats. La plupart des assureurs s’appuient sur des sociétés prestataires. À l’exemple de Gan Assurances qui travaille avec LCA ICSI pour la gestion de crise. Jean-Raymond Lemaire, PDG et fondateur de LCA ICSI détaille : “quand les assurés nous appellent, nous commençons par un diagnostic complet de la situation sous les angles technique, juridique et financier, puis nous pouvons intervenir à distance ou sur place. Nous pouvons également faire intervenir des avocats spécialisés dans ce domaine cyber et des conseillers en communication et prendre en charge un dépôt de plainte.” De son côté, AXA France a fait le choix de mettre en place une hotline via AXA Assistance, “opérationnelle depuis plus d’un an“, précise Philippe Gaillard.

Viennent ensuite les questions des garanties. Afin d’adresser les différents secteurs, les assureurs optent pour des offres packagées plutôt que des offres trop ouvertes comme les premières arrivées sur le marché. “Pour les premiers contrats, les assurés devaient choisir leur garantie. Désormais, on s’oriente vers des contrats package“, observe Benoit Salembier (ADD-Value). Une stratégie adoptée notamment par Gan Assurances afin qu’elle soit “la plus simple et lisible pour le chef d’entreprise qui n’est pas un expert de la sécurité informatique“, indique Frédéric Bourgeois. Chez Hiscox, l’offre a été simplifiée, comme en témoigne Astrid-Marie Pirson : “nous avons refondu notre offre fin 2016 pour avoir un texte plus simple incluant par défaut un maximum de garanties que le client peut éventuellement choisir d’enlever.“

Les assureurs manquent de données

Il n’est pourtant pas toujours évident de s’y retrouver. Les offres couvrent généralement les dommages et pertes et la responsabilité civile de l’entreprise. Reste à savoir ce qui est compris dedans. “Dans les dommages et pertes, nous couvrons tous les frais d’expertise que nous mettrons en œuvre, tous les frais relatifs à la reconstitution de données, ceux relatifs aux notifications aux autorités et clients si nécessaire, ceux relatifs aux atteintes et réputations numériques, la veille pendant un an quand il y a une fuite de données sur des personnes… Nous couvrons également la responsabilité civile suite à un incident numérique“, énumère Bernard Duterque (Generali). Certaines offres couvrent les dommages sur le matériel de l’entreprise.

Mais comme pour la tarification, les assureurs manquent de données afin de fixer les montant des garanties. Ils sont encore dans une phase de lancement, comme en témoigne Bernard Duterque : “les montants garantis sont choisis par l’assuré en fonction de son parc informatique, de sa marge brute… Aujourd’hui, nous pouvons aller jusqu’à 1 million d’euros en dommages et pertes et petit à petit nous monterons sans doute nos engagements.” Chez Hiscox, la garantie est comprise entre 100 000 euros et 10 millions d’euros par sinistre et par an. François Nédey (Allianz) ajoute : “les garanties responsabilité civiles sont celles où l’assurance des cyber-risques nous plonge dans un monde moins connu. Si on veut vraiment que la société soit protégée, il faudrait que l’ensemble des acteurs et des habitants aient une assurance pour avoir une couverture suffisante de ces risques.“

Une réglementation qui devrait porter le marché

Une généralisation de l’assurance qui paraît inévitable pour Bernard Duterque (Generali) : “depuis quelques années, le capital le plus important dans les entreprises, c’est le capital immatériel.” Ce développement du marché pourrait être poussé par la réglementation européenne sur la protection des données personnelles. Applicable en mai 2018, le GDPR (règlement européen des données personnelles) “va obliger les dirigeants d’entreprise à prendre en compte la sécurité des données et à déclarer à la Cnil toutes les atteintes“, détaille Bernard Duterque. Il précise : “aux États-Unis où une telle réglementation existe depuis quelques années, on estime à 13 dollars le coût par adresse notifiée.” Un chiffre à multiplier par le nombre de clients à prévenir. Ce qui peut être rapidement important pour les entreprises.

Le règlement européen eIDAS (article 19-2) stipule également que les prestataires de services de confiance doivent notifier sous 24 heures l’organe de contrôle de toute atteinte à la sécurité ou de toute perte d’intégrité. “L’évolution de la réglementation va augmenter les niveaux de sensibilisation des entreprises“, indique Frédéric Nédey qui plaide pour une obligation de cyber-assurance. D’ici là, chacun étoffe son portefeuille pour adresser ce marché en devenir.