La protection contre la cybercriminalité est devenue une nécessité pour toutes les organisations, mais les assureurs peinent encore à rentabiliser le produit en raison des réclamations de plus en plus nombreuses.
Peter Keryakes, directeur dans l’est du Canada pour les risques financiers chez Chubb Canada depuis 2020, était l’un des invités de l’Institut d’assurances de dommages du Québec dans le cadre du Rendez-vous Québec tenu à la fin de mai. Il travaille chez l’assureur depuis 2017.
M. Keryakes a fait le point sur le marché de la cyberassurance en 2022. Selon lui, on a vu arriver en 2019 de nouveaux vecteurs d’attaque qui sont devenus très courants au début de la pandémie et qui ont pris de l’ampleur avec l’expansion du télétravail.
Dès 1998, le premier produit d’assurance en cybersécurité a été offert par l’assureur et ciblait uniquement les institutions financières. « Personne ne l’a acheté. Ça a pris 10 ans avant qu’un client la demande. On peut dire qu’on était à l’avant-garde », dit-il.
La première préoccupation était la protection des renseignements personnels des clients et des tierces parties. Graduellement, la divulgation obligatoire des brèches informatiques a été implantée d’une province à l’autre.
La responsabilité civile des dommages associés à ces brèches était donc la première garantie offerte en matière de cybersécurité. Si le courtier ne l’offrait pas à ses clients, cela pouvait même être considéré comme faisant partie des risques non couverts par sa police erreurs et omissions.
La dépense en double
Le marché de la cyberassurance a pris de l’expansion en 2017, soit en avenant aux polices existantes, soit en produit distinct et modelé aux besoins du client.
Durant les premières années, les pirates pratiquaient ces brèches pour voler les renseignements personnels pour ensuite les revendre aux réseaux criminels.
Depuis, ils ont appris à tirer doublement profit de leur méfait. Les « hackers » sont désormais passés au mode de l’extorsion directe. Ils cryptent les données et font une première demande de rançon pour les remettre à la victime du piratage et lui permettre de reprendre ses opérations normales. Ensuite, ils font une autre demande de paiement pour qu’ils ne livrent pas les mêmes données aux réseaux criminels.
La cybercriminalité « est devenue une business très profitable, avec des employés bien payés et ayant de bonnes conditions », et en conséquence, a rendu ce marché nettement moins profitable pour les assureurs, dit-il.
Dès 2019, les Lloyd’s de Londres ont imposé à leurs syndicats membres de préciser l’exclusion de la cybercriminalité dans les garanties offertes en assurance de dommages des biens. Cela a permis d’augmenter la demande pour le produit de cyberassurance.
Les conditions sont devenues plus restrictives. Désormais en droit des affaires, les contrats prévoient que les parties doivent détenir cette protection. Les institutions financières l’exigent aussi avant de prêter.
Des obstacles
La firme Adviser Partner Re mesure le degré d’intérêt et de connaissance des assurés concernant la cyberassurance. On peut ainsi mieux comprendre les obstacles à la souscription du produit.
Selon les chiffres rapportés par M. Keryakes, quelque 70 % des répondants disent ne pas comprendre les facteurs de risque, 57 % notent qu’ils ne comprennent pas la nature de la garantie offerte et 50 % ne connaissent pas les facteurs qui déterminent la tarification du produit. Enfin, 40 % trouvent la procédure de souscription trop compliquée. « En 2019, la cyberassurance était difficile à vendre. En 2022, elle est difficile à acheter », dit-il.
« Chez Chubb, on voit trois catégories d’entreprises : la première est constituée de celles qui ont été attaquées et qui ne le savent même pas. La deuxième, ce sont les entreprises qui ont été attaquées. La troisième, ce sont celles qui seront attaquées », ajoute M. Keryakes.
Le fait de subir une perte qui n’est pas couverte par une garantie ou de connaître quelqu’un qui a vécu une telle expérience est l’un des principaux déterminants dans la souscription de la cyberassurance. Avoir cette police donne un accès rapide aux meilleurs fournisseurs en cybersécurité, poursuit-il.
Les courtiers sont de plus en plus à l’aise pour bien expliquer la garantie. « Je le vois dans ma souscription selon les questions qu’on me pose. Avant, je devais expliquer le produit. Maintenant, je parle au directeur des TI pour vérifier la qualité des contrôles en place dans l’entreprise », note Peter Keryakes.
L’authentification à plusieurs facteurs, la segmentation des réseaux et l’implantation de la nouvelle génération des antivirus sont désormais des exigences courantes des assureurs. Il souligne que le Centre canadien de la cybercriminalité a produit un guide qui porte précisément sur les rançongiciels.
Sinistralité
M. Keryakes a ensuite cité plusieurs statistiques tirées du Chubb Cyber Index, lequel est accessible à tous sur le web et fournit des données sur l’évolution du marché. « La cybersécurité est un écosystème et il est très important de partager l’information », dit-il.
On peut y trouver des données sur la fréquence et la sévérité des sinistres par type d’industrie ou selon la taille des revenus de l’entreprise. L’année de base est 2017, car c’est à partir de là que les réclamations ont pris de l’importance.
Les services professionnels (30,7 %) et la fabrication (13,6 %) sont en tête de liste pour le nombre de réclamations en 2021 et c’était aussi le cas les trois années précédentes.
Plus du tiers des réclamations (34,2 %) ont été faites par des entreprises ayant des revenus inférieurs à 25 millions de dollars (M$) par année. La catégorie des 25-150 M$ représente quant à elle 27,3 % des réclamations.
Ces deux groupes que l’expert qualifie de « PME » représentent plus de trois réclamations sur cinq faites aux assureurs en matière de cybersécurité. « La fréquence est réellement dans les PME », dit-il.
Depuis 2012, la fréquence des attaques a augmenté de 800 %, toutes tailles confondues, mais la hausse atteint 1 600 % pour les entreprises de plus petite taille. Dans ces « PME », la gestion des technologies de l’information et des communications (TIC) est confiée à des sous-traitants, ce qui prolonge les délais d’alerte et augmente les chances de propagation du virus informatique dans l’entreprise.
Les entreprises ayant des revenus de 151 M$ à 500 M$ représentent 19,7 % des demandes d’indemnités. Les grandes entreprises avec plus de 500 M$ de revenus ne sont pas épargnées, car elles représentaient 18,8 % des réclamations en 2021. « La sévérité est là, dans ce créneau », note M. Keryakes.
En éliminant de sa comparaison les pertes supérieures à 5 M$, Peter Keryakes souligne que le coût moyen du sinistre est de 400 000 $. Les dépenses en criminalistique (161 500) sont la principale dépense, tandis que les centres d’appels et la notification aux clients coûtent en moyenne 143 648 $.
L’expert souligne qu’il ne faut pas négliger que dans les clients assurés par Chubb, 20 % des responsables des attaques sont des employés de l’entreprise.
Responsabilité civile
La police classique en responsabilité civile ne couvrait pas les pertes d’exploitation découlant d’une cyberattaque si le risque n’était pas prévu dans un avenant distinct. Le même constat s’applique pour les polices en responsabilité civile professionnelle (erreurs et omissions, ou E&O) ou la responsabilité des administrateurs et dirigeants. La police vol et détournements ne couvre pas non plus les pertes associées à la cybercriminalité.
La cyberassurance est devenue un produit hybride qui comprend trois volets : la couverture E&O des produits technologiques, la responsabilité civile des médias et la couverture vol et détournement.
L’intervention en cas d’incident comprend les services d’un expert-conseil, ou « breach coach », qui devient le premier répondant. Assez souvent, ce spécialiste est associé à un cabinet d’avocats. Les services juridiques, la surveillance du dossier de crédit des consommateurs, la notification et les centres d’appels font partie de la couverture.
Les risques propres sont reliés aux coûts du retour à la normale des opérations de l’entreprise, incluant la restauration et les coûts de récupération des données. « La décision de payer ou non l’extorsion de fonds relève de l’assuré », note Peter Keryakes.
Les pertes d’exploitation reliées à l’interruption de service d’un tiers fournisseur sont couvertes. La fraude en ingénierie sociale est un nouvel avenant offert par l’assureur et couvre les sinistres du type « fraude du président » ou reliés à l’hameçonnage. La cyberassurance comporte aussi un volet en responsabilité civile pour les dommages causés aux tiers.
Potentiel de croissance
M. Keryakes estime le marché mondial de la cyberassurance à 7,5 milliards de dollars américains (G$ US), dont Chubb détient 10 % des parts. Quelque 300 assureurs y participent, les plus importants étant AIG, Beazley, AXA XL, Zurich et Travelers.
À peine 40 % des « PME » achètent la cyberassurance. « On a un potentiel de croissance immense », dit-il.
Malheureusement, les vulnérabilités sont plus nombreuses qu’avant, et les assureurs peinent à ajuster leurs capacités aux nouveaux besoins. La moitié des attaques informatiques ont un impact financier important sur l’entreprise visée, selon M. Keryakes.
Le marché s’est détérioré depuis 2020 en raison d’un grand nombre de sinistres très coûteux. Le ratio de pertes est encore supérieur à 100 % chez la grande majorité des assureurs.
Les catastrophes
Certaines des failles comportent un risque systémique élevé, comme c’est le cas pour l’application de journalisation Log4J dévoilé par Apache en décembre dernier.
« Un auteur de menace non authentifié distant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur l’appareil touché », selon le Centre canadien pour la cybersécurité.
La simple mise à jour fournie par Apache ne suffit pas, car il faut aussi vérifier les journaux produits dans toutes les applications où ce code Java est utilisé. Le score de dangerosité de cette faille est estimé à 10 sur 10.
Aucun sinistre catastrophique n’a encore été détecté en lien avec cette faille ou plusieurs autres, mais la présence de cet outil dans des milliers de logiciels fait craindre le pire aux spécialistes, selon M. Keryakes.
En conséquence, les assureurs commencent à inclure les grands sinistres catastrophiques dans la tarification de la cyberassurance, « car il faut rentabiliser ce produit dans le contexte du risque systémique », dit-il.
L’assureur prévoit ajouter bientôt des avenants à sa police hybride, où des sous-limites seront offertes pour les rançongiciels, les vulnérabilités négligées de certains logiciels et les extensions d’événements généralisés. Le fléau des rançongiciels est en grande partie responsable des mauvais résultats des assureurs.
Chubb n’offre pas encore la possibilité du partage de risques en coassurance comme le font certains assureurs. « Si on décide d’accepter un risque, on le couvre », indique Peter Keryakes. Si un client estime avoir un niveau de sécurité assez élevé, l’assureur pourrait accepter de négocier un tel partage, mais il ne le fait pas pour l’instant.
Les régulateurs ne demanderont jamais aux entreprises si elles détiennent une cyberassurance, mais si elles ont pris tous les moyens pour limiter les dommages causés par une brèche, conclut M. Keryakes.