Une récente étude de l’agence A.M. Best révèle que 53 % des acteurs de l’industrie de l’assurance ne possèdent pas de couverture contre la cybercriminalité pour leur propre entreprise. Elle remet aussi en question l’idée reçue selon laquelle les petites structures seraient les cibles privilégiées des pirates informatiques.Comme d’autres secteurs des services financiers, celui de l’assurance demeure très vulnérable aux cyberattaques, notamment en raison de la grande quantité de données personnelles que les prescripteurs ont en possession. Face à l’émergence et à la croissance rapide de ce risque, bien qu’il ne soit pas véritablement « nouveau », A.M. Best a décidé de se pencher sur cette menace. Dans une étude intitulée A.M. Best Fall 2014 Insurance Industry Survey Focuses on Cyber Risk, l’agence de notation a ainsi interrogé les acteurs de l’industrie de l’assurance aux États-Unis afin de lever le voile sur certaines tendances.
De ce fait, les questions posées portaient à la fois sur la position des assureurs relativement aux cyberattaques, et, pour les assureurs en dommages, sur les différentes offres de produits liées aux cyberattaques. Les personnes interrogées représentaient les différentes branches de l’industrie, à savoir l’assurance de dommages (68 %), l’assurance vie (22 %) et l’assurance santé (9 %). Aussi, toutes les tailles d’entreprises étaient représentées.
En préambule, la première question cherchait à savoir si les entreprises interrogées avaient déjà été victimes d’une violation de données ou d’une cyberattaque. Ainsi, seulement 15 % des entreprises interrogées admettaient avoir connu une telle attaque, alors que plus de 37 % des entreprises qui comptent plus de 500 M$ US de capital avouaient avoir été la cible d’une attaque. Il s’agit d’une donnée importante quand on sait que 92 % du capital de l’industrie est détenu par ces grandes sociétés. La quantité de données que possèdent ces entreprises est aussi largement supérieure à la moyenne de l’industrie.
Ainsi, l’idée selon laquelle les petites structures aux systèmes de sécurité défaillants seraient les cibles privilégiées des pirates ne se confirme pas dans les chiffres, le principal objectif des cyberattaques et des violations de données étant les grandes sociétés.
Par ailleurs, l’étude d’A.M. Best révèle que les entreprises victimes de cyberattaques ou de violations de données privées ont été globalement en mesure de repérer rapidement les intrusions dans leur système. Ainsi, elles sont plus de 75 % à avoir découvert les violations de leurs systèmes dans le premier jour. Il a fallu cependant un mois ou plus à 8 % des sociétés pour découvrir que leur système avait été piraté.
Autre point de cette étude parmi les plus riches d’enseignement : 53 % des assureurs interrogés ont avoué ne pas posséder actuellement de couverture contre le cyberrisque pour leurs propres entreprises. Ils sont toutefois 30 % à bénéficier d’une couverture dont la garantie est comprise entre 1 et 5 M$ US.
Parmi les entreprises interrogées, seulement 3 % possèdent un département spécialisé dédié à ce type de risques, les autres préférant externaliser cette fonction.
Bien que la cybersécurité soit souvent à la une des journaux quand une grande entreprise (comme récemment Target, Sony ou encore Home Depot) subit une attaque majeure, 86 % des répondants avouent ne pas proposer à leurs clients de programmes en sécurité informatique. Et même s’ils sont 47 % à admettre souscrire une telle assurance pour eux-mêmes, 97 % déclarent ne jamais vendre de polices (ou moins de 1000) liées à la cybersécurité.
Au petit groupe de répondants qui vendent activement ce genre de police, A.M. Best a demandé quels étaient les secteurs d’activité les plus à même de souscrire une assurance. Ainsi, les industries de la santé et des services financiers se rangent en haut du classement, tandis que les industries chimiques et aériennes seraient celles qui montreraient le moins d’intérêt dans la cyberassurance. Toutefois, il est à noter que les compagnies souscrivant ce genre de risque le font dans le cadre de polices déjà existantes comme la responsabilité générale. Seulement 57 % souscrivent des polices de cybersécurité spécialisées.
Enfin, l’étude précise que la quasi-totalité des répondants qui ont souscrit une couverture de cyberrisque en 2014 ont rapporté un peu moins de 100 M$ US en primes, alors que 61 % des polices avaient une limite inférieure à 1 M$ US.