Il appartient à chaque entreprise d’évaluer l’opportunité de souscrire une police dédiée, en fonction de son degré d’exposition, des garanties dont elle dispose via ses contrats classiques, de la portée des garanties de l’offre cyber convoitée et naturellement de son coût.
Les cyber-risques sont bien réels. La diversité des causes et des formes qu’ils prennent mais surtout des conséquences financières qu’ils peuvent avoir en cas de concrétisation en font une menace conséquente. Et les entreprises en sont de plus en plus conscientes : comment ne pas l’être avec la sur-médiatisation des attaques survenues ces derniers mois ? Pourtant, rares sont celles qui s’assurent à ce jour contre ces risques. Certes, le marché français n’offre des solutions dédiées que depuis peu de temps, mais la réceptivité des entreprises se fait tout de même attendre. Selon une étude(153), 60% des entreprises interrogées n’ont pas prévu de souscrire une assurance pour se protéger des cyber-risques. Pour les entreprises qui l’envisagent, elles rechercheraient majoritairement une couverture pour leur responsabilité civile (60%). Si ces chiffres ne sont pas propres à la France mais relèvent d’une étude mondiale, ils nous donnent toutefois une tendance que l’on peut transposer aux entreprises françaises.
La cause de cette frilosité des entreprises est, peut-être, le coût de ces polices dédiées. Selon un courtier, le niveau de prime en France pour une police cyber oscillerait généralement entre 2 et 5 % de la limite de garantie achetée, laquelle peut aller de quelques milliers d’euro à plusieurs millions. Il y en aurait donc pour toutes les bourses. Une entreprise modeste pourrait ainsi acheter une petite couverture d’assurance, inférieure à un million d’euro, avec une prime annuelle à partir de 2 500 euro.
Une entreprise plus conséquente serait susceptible de débourser entre 50 000 et 75 000 euro de prime, pour 5 à 10 millions d’euro de garantie. Et une très grande entreprise pourrait obtenir plusieurs dizaines de millions d’euro de couverture avec une prime forcément plus impressionnante.
En outre, des franchises sont également prévues dans les polices cyber. S’agissant de la garantie Pertes d’exploitation, elle sera en principe exprimée en jours. Pour les autres garanties, il pourra s’agir d’une franchise forfaitaire ou d’un pourcentage du montant du sinistre. Compte tenu des données insuffisamment nombreuses que nous avons pu recueillir, il est difficile d’en donner un ordre de grandeur précis.
Les polices cyber ne sont donc pas données, mais elles ne sont pas inaccessibles. Leur prix est susceptible de varier fortement en fonction de la couverture achetée mais aussi des garanties souscrites. Dans le cas des packages toutefois, la tarification pourrait apparaître insuffisamment discriminante. Les « petits » risques pourraient en effet estimer que le coût est trop élevé et sortir du marché, ce qui compromettrait l’équilibre du portefeuille de l’assureur. L’ajustement des primes est donc un point déterminant pour le développement de ce marché.
Par ailleurs, l’apparente complexité de la mise en place d’une police cyber peut également expliquer la réticence de certaines entreprises. Le recueil des données, la mise en place des mesures de protection et des procédures de contrôle nécessaires à la souscription d’une telle assurance peuvent en effet constituer un frein supplémentaire.
L’entreprise déterminera donc individuellement son intérêt à souscrire une police dédiée, en fonction du coût mais aussi bien sûr de son exposition au risque. En cas de sinistre majeur, le montant de la prime pourra s’avérer dans certains cas tout à fait dérisoire. Certes, en ces temps de crise économique, les entreprises sont réfractaires à faire de nouvelles dépenses, de surcroît pour une garantie d’assurance dont elles ont pu se passer jusque-là. Mais il leur suffira peut-être de subir une atteinte à leur système d’information pour revoir leur position.
Le parallèle avec l’assurance couvrant la Responsabilité Civile des Dirigeants est aisé. Cette police existe depuis le début des années 1970 aux États-Unis et depuis 25 ans environ en France. Lorsqu’elle a été mise sur le marché, cette assurance n’a pas immédiatement eu le succès escompté par les assureurs. Mais peu à peu, elle est véritablement rentrée dans les moeurs. Aujourd’hui, la majorité des entreprises françaises souscrivent cette assurance au profit de leurs dirigeants, personnes physiques. Cette évolution s’explique par l’inflation des mises en cause des dirigeants, mais aussi par l’étoffement du marché et l’amélioration des offres.
De la même manière, les polices cyber ont toutes les chances de se démocratiser. Avec le temps, les offres et les mentalités vont évoluer. Les incertitudes et les défauts actuels des polices cyber vont s’atténuer avec la pratique. Par un effet d’entraînement, les assureurs seront plus nombreux à se positionner et proposeront sans doute peu à peu des offres plus concurrentielles. Par ailleurs, l’augmentation du nombre d’entreprises assurées facilitera la mutualisation des risques et aura probablement un effet incitatif sur les autres.
Le temps devrait donc jouer en faveur des polices cyber. Mais plus que le perfectionnement des offres, ce sera sans doute l’intensification des risques qui déterminera les entreprises et dopera le marché de l’assurance des cyber-risques. En effet, corrélativement à l’évolution constante des technologies, les menaces s’intensifient et prennent des formes toujours nouvelles, rendant la protection technique toujours plus difficile. De surcroît, les conséquences financières de ces risques vont s’accentuer, notamment du fait du durcissement annoncé de la législation en matière de données personnelles. Le projet de règlement européen plusieurs fois cité prévoit en effet l’extension de l’obligation de notification, actuellement cantonnée aux fournisseurs d’accès internet, à toutes les entreprises. Le poids financier des atteintes aux données risque alors d’apparaître bien plus concret aux entreprises. Les sanctions pécuniaires prononcées par les autorités administratives en cas de manquement à la législation sur la protection des données personnelles devraient également être augmentées. D’une manière générale, les législations relatives au cyberespace sont encore peu nombreuses et parfois inadéquates. On peut s’attendre à ce que le législateur s’empare plus sérieusement de ces problématiques, et que les obligations des différents acteurs s’accentuent. Avec par là même une intensification du risque de responsabilité. A moins que l’attente ultralibérale de certains acteurs majeurs, dans l’internet et dans le monde, ne vienne freiner ce mouvement…
Par ailleurs, le risque dommages et notamment de pertes d’exploitation devrait aussi augmenter, avec la dépendance grandissante de l’activité des entreprises à leurs systèmes d’information et à leurs données.
Mais le facteur déterminant pourrait bien venir de la pression du marché. Les partenaires commerciaux et autres clients s’inquiètent déjà des garanties de sécurité offertes par les entreprises avec lesquelles ils traitent. Les attentes en la matière pourraient bien devenir telles que les entreprises insuffisamment protégées contre les cyber-risques pourraient perdre des affaires. Dans ce cas, la justification d’une police d’assurance adaptée serait de nature à rassurer les partenaires. Elle pourrait même, à terme, devenir une absolue nécessité.
A notre sens, les cyber-risques n’ont pas fini de perturber nos entreprises. Les polices cyber ont donc de beaux jours devant elles.
153 Harvard Business Review Analytic Services, Meeting the Cyber Risk Challenge, 2013
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance