Cyber-assurances : la France fait partie des marchés les plus agressifs en termes de tarification et de franchise

Le 5 novembre 2019, le courtier Willis Tower Watson a annoncé le lancement de nouvelles polices d’assurance cyber pour ses clients. L’offre est déclinée en Europe de l’Ouest, en Amérique du Nord et aux Etats-Unis. En France, ce sont trois nouveaux contrats qui permettront de proposer des solutions adaptées aux grandes entreprises, aux ETI et aux PME. Responsable Finex Cyber Europe occidentale de l’entreprise, Laure Zicry explique à mind Fintech : “nous avons travaillé à la construction de contrats clairs, qui soient aussi bien compréhensibles par les risk managers que par les responsables de la sécurité des systèmes d’informations (RSSI)”. 

L’offre répond à des besoins toujours plus importants, sur le marché de l’assurance. D’une part, celui de répondre aux incidents cyber. Laure Zicry note notamment que “beaucoup d’entreprises continuent de nous appeler parce qu’elles ont été victimes d’un rançongiciel”. Une autre tendance est celle du cryptojacking, c’est-à-à-dire “lorsque les entreprises découvrent que leur système informatique a été infecté et  qu’il est utilisé pour miner des cryptomonnaies”. D’autre part, il s’agit de mieux caractériser ce qui relève strictement d’une assurance cyber et ce qui ressort de l’”exposition silencieuse”, potentiellement couverte par d’autres types de polices. 

Un marché en plein mouvement

Car lorsque les limites sont floues, assureurs et assurés ne s’entendent plus. “Rien qu’au début de l’année, deux grandes entreprises américaines ont assigné leurs assureurs en justice pour des raisons relatives à leur couverture cyber, à la suite de la cyberattaque NotPetya”. Le groupe Mondelez, d’un côté, a poursuivi la filiale américaine de Zurich en justice. L’assureur a fait valoir que la cyberattaque était équivalente à “un acte hostile ou un acte de guerre”. A ce titre, il a estimé qu’il pouvait faire jouer la clause d’exclusion de son contrat d’assurances dommage aux biens. Le groupe pharmaceutique Merck, pour sa part, a assigné l’ensemble de ses assureurs et réassureurs devant les tribunaux. “Sa logique, explique Laure Zicry, était la suivante : “nous avons vu que nous avions une couverture comprise dans notre assurance dommages”, et donc d’obtenir des indemnités supplémentaires”.

En réaction, “les régulateurs eux-mêmes se sont mis en mouvement”, explique la juriste. Au Royaume-Uni, par exemple, la Prudential Regulation Authority (PRA) a écrit une lettre à destination des dirigeants de compagnies d’assurance. Le message, en substance, consistait à dire “ignorez les expositions silencieuses à vos risques et périls”. En France, c’est la Fédération Française de l’Assurance (FFA) qui travaille depuis plusieurs années sur le sujet, et conseille aux assureurs comme aux entreprises de se préoccuper de la question.  

Pour les assureurs, “le message qui est envoyé est le même partout, selon Laure Zicry : Il faut choisir. Vous pouvez exclure très clairement le risque cyber de vos polices d’assurance non cyber.” Il s’agit alors d’inscrire noir sur blanc dans les polices d’assurances IARD, responsabilité civile, enlèvement-rançon ou autre que ce qui résulte d’un incident cyber n’est pas couvert. “Ou alors, vous pouvez choisir de le garder dans ce type de police, continue-t-elle. Mais dans ce cas, il faut une couverture affirmative de ces risques.” Comprendre : un ou des paragraphes spécifiques, dans lesquels les modalités d’assurance sont décrites très spécifiquement. 

L’Europe et la France, terrains compétitifs

C’est ce que fait désormais Willis Tower Watson, qui, en parallèle, offre donc aussi des polices d’assurances cyber précises. “Nous les avons divisées en 3 chapitres, détaille Laure Zicry. Gérer la crise, être responsable et couvrir les impacts”. Ce type de produit se décline pour les PME/ETI, pour les corporates et pour de grands acteurs internationaux qui achètent beaucoup de capacités et profitent donc d’un assemblage de contrats d’assurance. Cela permet au courtier d’accompagner les entreprises à chaque étape de la gestion d’une cyberattaque.

Si ces nouvelles polices sont proposées d’abord en Amérique du Nord, au Royaume-Uni et en Europe de l’Ouest, c’est pour répondre aux spécificités de ces marchés. “Ces trois zones géographiques ont des marchés de l’assurance et des façons d’écrire les textes totalement différentes du reste du monde”, souligne la responsable Finex Cyber de Willis Tower Watson. Par ailleurs, la région qu’elle supervise, l’Europe de de l’Ouest et la France, “fait partie des marchés les plus compétitifs, des plus agressifs en termes de tarification et de franchise”. Une tendance que Laure Zicry explique par sa relative jeunesse, comparé aux Etats-Unis. Là-bas, “le marché cyber existe depuis 15 ans, ce qui a déjà fait monter le prix des polices d’assurance”.