Les assureurs ont tout un casse-tête à assembler avant d’offrir des protections contre les cyberrisques aux entreprises. L’occasion est là, et elle est importante, mais le marché est fragmenté. L’intérêt envers les polices distinctes demeure inégal tandis que les cyberrisques « silencieux » augmentent, si bien que certains sont d’avis que les compagnies d’assurance seront dans le pétrin si elles ne font rien pour s’en occuper, et vite.
« Le nombre de victimes qui ont payé une rançon après avoir été infectées par un logiciel malveillant donne froid dans le dos. » - Gareth Wharton
Hiscox Ltd., un assureur international spécialisé ayant sondé des entreprises pour produire son rapport sur la préparation aux risques (le Hiscox Cyber Readiness Report), indique que plus de la moitié des répondants se fient à leur couverture générale (à laquelle une protection contre les cyberrisques serait ajoutée) pour atténuer les risques posés par les cybercriminels et l’erreur humaine. « C’est une énigme. Elles sont surement toutes une protection contre le vol et l’incendie et, pourtant, le rapport souligne qu’elles ont 15 fois plus de risques de subir un cyberincident », fait remarquer Gareth Wharton, directeur général, cybersécurité. « Si le nombre d’entreprises ayant rapporté une atteinte à la sécurité est en baisse, les couts et l’intensité des activités criminelles semblent avoir nettement augmenté. Le nombre de victimes qui ont payé une rançon après avoir été infectées par un logiciel malveillant donne froid dans le dos. »
Un risque croissant pour les assureurs
De son côté, S&P Global Ratings dit que le recours à une couverture générale représente un risque important et croissant pour certains assureurs.
« Le marché de la cyberassurance est sous-développé, et les protections contre les cyberrisques sont souvent greffées à une police d’assurance de la responsabilité civile ou d’assurance des biens qui, au départ, n’a pas été conçue pour offrir une telle couverture », expliquent les auteurs du rapport de S&P sur l’exposition des assureurs aux cyberrisques silencieux, Cyber Risk in a New Era: Let’s Not Be Quiet About Insurers’ Exposure to Silent Cyber.
Ils affirment que le marché a un énorme potentiel de croissance, mais que les assureurs n’ont pas encore les bons produits pour répondre à la demande attendue dans l’avenir. « Les couvertures de cyberassurance sont souvent jointes à une police de la responsabilité civile ou des biens existante. Parfois, les cyberrisques ne sont ni inclus ni exclus explicitement, ce qui laisse le champ libre aux “cyberrisques silencieux” : on parle ici des pertes que peuvent subir les assureurs lorsqu’une réclamation est présentée à la suite d’un cyberincident, alors que la police n’est pas conçue pour couvrir les cyberrisques. » Les auteurs du rapport ajoutent que les couvertures ajoutées après coup omettent souvent d’énumérer tous les risques. « Les réclamations peuvent donc donner lieu à de vifs débats. Or, les débats et les poursuites retardent le versement des indemnités et nuisent au développement durable du marché de la cyberassurance. »
La centralisation de la collecte de données et de la recherche
Au lieu de se contenter de combiner les couvertures, les assureurs devraient traiter la cyberassurance comme un secteur d’activité à part pour réduire le risque de voir les réclamations s’accumuler et pouvoir aborder la collecte de données et la recherche de manière centralisée, suggère le rapport. Ce serait là une démarche essentielle, car la nature dynamique des cyberrisques peut compliquer le calcul de primes adéquates. En outre, on affirme dans le rapport qu’en ayant un secteur d’activité à part, la direction pourra y accorder plus d’attention.
La cyberassurance est un secteur susceptible de faire croitre l’industrie, disent les auteurs du rapport. Or, les titulaires de police ont l’impression qu’ils sont déjà couverts contre les cyberrisques, ce qui empêche le secteur de prendre véritablement son envol. « Les courtiers et agents ont donc du mal à vendre des protections distinctes contre les cyberrisques, et on pourrait croire que la situation justifie l’intégration de la couverture aux polices existantes. À notre avis, un cyberincident grave qui viserait plusieurs secteurs d’activité en même temps ferait planer une menace généralisée sur les assureurs. »