Mark Synnott (Willis Re) : “Il y a une composante catastrophique dans le cyber risque”

En quoi le cyber est-il différent des autres formes de risques couverts par les (ré)assureurs ?

D’abord, il est très fluctuant, ce qui a de grosses implications pour les ingénieurs et analystes en charge de le surveiller. Il y a 4 ou 5 ans, par exemple, les fuites de données étaient considérées comme la pire menace. Plus récemment, on a plutôt vu les rançongiciels devenir un vrai problème, sans parler des malwares (programmes malveillants) qui infectent beaucoup d’ordinateurs différents. En réalité, il y a une composante catastrophique dans le cyber comme dans les risques naturels : c’est un risque bien plus complexe que d’autres auxquels sont confrontés les assureurs. Et c’est un risque qui évolue en fonction des activités humaines.

L’est-il aussi par la manière dont il affecte les entreprises ? 

 Oui, car il touche de multiples lignes d’activité. Nos vies sont comme doublées par nos activités numériques : à peu près tout ce que nous faisons a son pendant cyber. Et chaque activité effectuée rajoute donc potentiellement une nouvelle ligne d’activité assurantielle. Un cabinet d’avocat qui détiendrait des données sensibles sur ses clients peut devenir une cible intéressante pour des hackers, par exemple. C’est un nouveau risque, une exposition cyber. 

Ce risque implique donc de nouvelles responsabilités pour les entreprises. Comment cela se traduit-il dans leurs couvertures d’assurance ? 

 Nos activités personnelles comme nos activités professionnelles sont toujours plus dépendantes du numérique. Donc dans les assurances de responsabilité civile, par exemple, il y a un nouveau territoire : si une entreprise ne surveille pas correctement ses activités numériques, si un particulier ne prend pas suffisamment soin des informations qu’il brasse en ligne, alors il y a un sujet à couvrir. Les assureurs eux-mêmes sont potentiellement plus exposés qu’auparavant : si leur système informatique est compromis et qu’ils ne peuvent plus conduire leurs propres activités, nous devons couvrir en tant que réassureur un nouveau risque d’interruption de l’activité. La liste des lignes d’exploitation potentiellement touchées par le cyber risque est longue : les questions cyber sont par nature beaucoup plus envahissantes que d’autres dommages. 

Comment la prise en charge du cyber risque se traduit-elle dans vos activités de réassurance ? Quelle taille fait votre équipe et comment travaille-t-elle ? 

Nous n’avons pas d’équipe de courtiers spécifiquement assignés à ces questions. Mon poste exact est celui de responsable mondial de l’activité cyber, ce qui me permet de coordonner une vingtaine de courtiers et d’analystes à travers le réseau de bureaux et de lignes d’activité de Willis Re. À l’échelle régionale, des courtiers travaillent sur le sujet au quotidien pour répondre aux besoins des clients, et si besoin, ils peuvent solliciter notre expertise. 

Il y a 5 ans, la valeur des primes émises dans le monde représentait à peine 2 milliards de dollars. Aujourd’hui, on est à 4 milliards. En 2020, on atteindra probablement les 7,5 milliards.

Mark Synnott

Directeur monde de l’activité cyber chez Willis Re

Plus largement, à quoi ressemble le marché de l’assurance cyber ? Qui sont vos clients ? 

Des compagnies d’assurance, évidemment, mais il m’est difficile de vous répondre plus directement. Ce qui est sûr, c’est que la ligne d’activité purement cyber croît rapidement : il y a cinq ans, la valeur des primes émises à l’échelle mondiale pour couvrir ce risque représentait quelques 2 milliards de dollars, ou moins. Aujourd’hui on atteint 4 milliards, et dans quelques années, en 2020 probablement, on atteindra les 7,5 milliards selon PwC. Chez Allianz, on estime même que la somme des primes de la cyber assurance avoisinera les 20 milliards de dollars d’ici 2025. 

Comment l’évolution de la taille de ce marché se traduit-elle chez les assureurs ?

 Comme la projection de croissance est vraiment importante, ils sont toujours plus nombreux à  s’y intéresser : il y en a peut-être 60 ou 70 dans le monde qui ont désormais une activité cyber risque. On estime généralement que les ratios de perte se situent entre 40 et 50%, donc ce type d’assurance semble rentable. Le problème, c’est que cette fourchette est largement calculée sur la base des fuites de données. Or, il y a une exposition croissante à des risques d’interruption d’activité causée par d’autres types de cyberattaques, c’est ce qui correspond à la dimension catastrophique du cyber risque dont je parlais. Ces risques catastrophiques sont très complexes à chiffrer, ce qui complexifie la tâche de déterminer si les offres resteront profitables sur le long terme. 

En fait, proposer de l’assurance cyber aujourd’hui, c’est un peu comme proposer des assurances habitation en Floride : pendant plusieurs années, tout avait l’air d’aller bien, les assureurs avaient une activité lucrative et puis un ouragan est passé et a grevé les profits pour des années. Ce type d’évènement peut révéler que vos primes d’assurance étaient fixées à un coût trop bas. Pour le cyber, l’enjeu est similaire.  

Pour prévenir ces risques, à quoi ressemblent les contrats de réassurance cyber que vous leur proposez ? 

Les assureurs ont tendance à nous demander d’intégrer leur cyber risque dans des contrats d’assurance plus larges, couvrant plusieurs lignes d’activités, plusieurs types de pertes. Ils ont souvent choisi cette option parce que les primes réservées au risques cyber étaient insuffisantes pour couvrir la totalité de leur risque. Mais c’est en train d’évoluer : on voit arriver un mouvement de séparation des risques cyber de primes multi lignes d’activités, pour en faire des offres autonomes. Cette tendance s’accompagne donc de contrats théoriquement capables de couvrir la totalité du risque cyber. 

Cela dit, si l’on regarde plus loin que les cyberrisques facilement identifiables, côté purement informatique, il y a toute la question du “silent cyber” à prendre en compte. Il s’agit de la partie cyber mêlée à d’autres lignes de business, du fait de notre dépendance au numérique. En fait, vous avez deux propositions d’assurance liées : celle qui couvre le cyber seul, le purement technique d’une part, et celle qui cherche à mesure la composante de silent cyber d’autre part. Et en réalité, l’exposition est beaucoup plus large du côté du silent cyber que du côté du cyber comme ligne de business autonome : il peut potentiellement affecter la totalité de l’activité de l’assureur.

L’exposition au silent cyber est la plus large : il peut potentiellement affecter la totalité de l’activité de l’assureur.

Mark Synnott

Directeur monde de l’activité cyber chez Willis Re

Dans ce cas, si une nouvelle cyberattaque d’ampleur mondiale comme WannaCry ou NotPetya survenait, quelle serait la réaction des réassureurs ? 

Ils pourraient utiliser les produits de couverture en excédents de pertes [Aggregate Stop-Loss insurance, où les coûts au delà d’un certaine somme ne sont plus couverts que par le réassureur, ndlr] qu’ils sont en train de construire pour essayer de couvrir la totalité des lignes d’activités. Ils sont construits sur le modèle des offres de réassurance catastrophe car l’évolution permanente des évènements cyber les rend très compliqués à définir. 

Certains réassureurs ont aussi créé des produits sur le modèle des pertes en cas de catastrophe (Industry Loss Warranty coverage). Ces primes là ne sont déclenchées qu’au moment où une autorité tierce, un outil comme le PCS [outil de collecte de données de la société Verisk à destination des assureurs, ndlr] démontre que les pertes d’un assureur ont dépassé un certain seuil. Quand un événement cyber mondial dépasse ce montant de pertes, j’appellerais ça un événement cyber catastrophique. Un ou deux réassureurs proposent déjà ce genre de méthodes, et nous comptons bien étudier tout type de réclamation qui émergera après un tel événement cyber catastrophique. 

Est-ce que vous pourriez nous donner une idée du montant que doit débourser une banque ou un assureur pour s’assurer contre le risque cyber ? 

Je peux vous parler des estimations de pertes. PCS est actuellement en train d’enregistrer les évènements catastrophiques qui ont lieu à grande échelle – il surveillait déjà les évènements catastrophiques en terme de propriété et a étendu ses activités au cyber. En accumulant activités cyber et silent cyber, l’outil estime les pertes dues à NotPetya, qui a posé de vrais problèmes mi-2017, à 3,2 milliards de dollars. C’est un bon exemple de ce qui n’est en fait qu’un événement catastrophique de petite envergure. Nous nous attendons à ce qu’il y ait des évènements à impact plus large. 

À quel point ? 

Lloyd’s et Cyence ont réalisé leurs propres estimations de pertes en cas d’événement catastrophique et leurs chiffres ont atteint, pour la pire estimation quelques 53 milliards de dollars vu les interruptions d’activités que cela provoquerait [cette somme représente en fait le coût moyen des estimations de Lloyd’s pour l’activité économique global, le marché londonien de l’assurance envisageant la possibilité que les coûts d’un événement extrême montent jusqu’à 121 milliards de dollars, ndlr]. Quant aux pertes assurées, ils estiment leur montant autour de 8 milliards de dollars. Et ces montants ne concernent que les lignes de business précisément cyber : ils n’incluent aucune composante de silent cyber. 

Donc plutôt que de donner un prix, nous utilisons ces estimations pour démontrer les potentiels sinistres liés au cyber. Lorsque l’on veut parler de risques plus globaux aux assureurs, on évoque les pertes cyber du Marriott ou d’Equifax, qui ont dû s’élever à 300 ou 400 millions de dollars [auxquelles pourraient au moins s’ajouter, dans le cas du Marriott, 915 millions de dollars d’amende liée au RGPD, ndlr]. Avec NotPetya, plusieurs grosses entités commerciales parmi lesquelles le géant pharmaceutique Merck ont eu de gros problèmes de propriété, et les coûts des assurances sur ce sujet ont atteint des milliards de dollars. Ces exemples nous permettent de montrer aux clients à quel point le cyber peut les toucher. Et puis nos collègues de Willis Retails Operations nous donnent accès à des réclamations, ce qui nous permet de paramétrer PRISM-Re, le modèle que nous avons construit pour aider nos clients à estimer les inconvénients d’une cyberattaque.

L’activité cyber va continuer de grandir car nous allons devenir toujours plus interconnectés et dépendants au réseau.

Mark Synnott

Directeur monde de l’activité cyber chez Willis Re

Comment voyez-vous le monde numérique et le cyber risque associé évoluer dans les prochaines années ? 

Nous allons devenir toujours plus dépendants au réseau et interconnectés. L’Internet des objets va doubler ou tripler dans les cinq prochaines années, notre dépendance au cloud va grandir, les outils connectés seront toujours plus intégrés aux objets du quotidien… Cela signifie que le cyber va aussi continuer de grandir, d’un point de vue d’exposition au risque mais aussi comme ligne de business à part entière. A court terme, il me semble que les assureurs seront surtout intéressés par le cyber “pur” et c’est de ce côté là que la compétition va grandir car les ratios du marché sont bons. En revanche je pense que le segment du silent cyber évoluera peu et que cela deviendra même un problème sur le marché, jusqu’à ce qu’il y ait un très gros évènement à couvrir. Je ne parle pas de quelque chose comme NotPetya mais d’un événement peut-être dix fois plus violent. Ça arrivera, c’est inévitable.

Et quelle réaction imaginez-vous de la part des assureurs ? 

Une fois cet évènement large et systémique survenu, énormément de lignes de business seront touchées et les assureurs diront ensuite d’eux-mêmes qu’ils ne peuvent pas couvrir les impacts du cyber dans les autres lignes de business car ils ne coudront pas risquer de sous-évaluer ce silent cyber. Et donc ils commenceront probablement à l’exclure des contrats. 
Actuellement, il y a très peu de vocabulaire d’exclusion dans les contrats cyber, et je ne pense pas que cela évoluera beaucoup tant qu’il n’y aura pas d’événement vraiment systémique, car pour le moment cette absence d’exclusion peut-être vue comme un avantage compétitif. Après le prochain évènement cyber catastrophique, en revanche, je pense que l’on assistera à une croissance énorme du cyber comme ligne d’assurance pure.