Monsieur Haefeli, en tant que courtier spécialisé comment jaugez-vous les développements dans le domaine des cyber-assurances ?
Lorsqu’il y a dix ans nous avons discuté en Suisse des premières cyber-assurances, l’insécurité générale était grande. Comme les cyber-risques qui la justifient, la cyber-assurance s’est fortement modifiée et développée ces dernières années.
C’est-à-dire ?
Avec leurs connaissances pointues et leur expérience pratique, les souscripteurs impliqués sont de plus en plus convaincants. Tandis qu’au début, côté assureurs, l’analyse des risques était la tâche de généralistes, le dialogue sur le risque est désormais toujours plus souvent l’affaire de spécialistes et d’ingénieurs du risque qualifiés. Par ailleurs, de nos jours les entreprises sont généralement mieux préparées aux cyberattaques.
Le processus de souscription est devenu global et exigeant. Mais en associant des experts de toutes les parties concernées, l’échange est également devenu pertinent et il crée de la plus-value. Car des entretiens permettent régulièrement de prendre en compte des impulsions et de les concrétiser.
Notre interlocuteur
Markus Haefeli est le fondateur et Managing Partner de la société de courtage spécialisée dans le préjudice patrimonial Haefeli & Schroeder Financial Lines AG (HSFL). Juriste et économiste, il a précédemment occupé divers postes dirigeants dans des compagnies d’assurances, en dernier lieu comme Head Financial Lines chez Zurich. Il préside en outre le Financial Lines Forum. Cette conférence suisse portant sur l’assurance du cyber-risque et du risque D&O se déroule cette année le 20 juin à Zurich. Inscriptions ici.
Quels effets cela a-t-il eu sur les produits ?
Dans un produit de cyber-assurance, nous distinguons trois domaines principaux : gestion de crise, dommages propres subis, prétentions de responsabilité civile. Les produits d’assurance offrent une protection intégrale importante et fondamentale. Ces trois dernières années, le marché a vécu une consolidation. Des restrictions et des obligations supplémentaires en ont également fait partie.
Comment jaugez-vous le marché actuel de la cyber-assurance ?
Après plusieurs années de durcissement drastique, fait de capacité réduite, de franchises à la hausse, de restrictions de couverture et aussi de primes croissantes, pour la première fois le marché affiche à nouveau des signes de stabilisation, encore que ce soit à un niveau élevé.
Fondamentalement, le marché des cyber-assurances fonctionne, même si une cyber-assurance n’est pas disponible pour toute espèce de société. La sélection du risque faite par les assureurs vise à différencier entre les sociétés matures et celles qui le sont moins.
Les cyberattaques se sont multipliées de manière exponentielle, avec des modèles de plus en plus différenciés et les dommages qui vont avec. La cyber-assurance a-t-elle de l’avenir ?
« La demande du marché est élevée et continue de grimper. »
L’évolution que vous mentionnez souligne précisément la pertinence d’une cyber-assurance. La demande du marché est élevée et continue de grimper. Personnellement, je vois un bel avenir pour les produits d’assurance, à condition que l’industrie de l’assurance sache accepter l’évolution du cyber-risque et continue de développer la couverture en conséquence, avec discernement.
Il faut un sain équilibre entre prise en charge du cyber-risque par les assureurs et amélioration continuelle par les entreprises de leur dispositif de cybersécurité.
« En sensibilisant et en améliorant activement une cybersécurité concrète, on accroît la résilience. »
De votre point de vue, dans quelle mesure et quand la conclusion d’une cyber-assurance vaut-elle la peine ?
Une cyber-assurance est un complément important et précieux de la gestion du cyber-risque et des mesures de sécurité techniques et personnelles des entreprises. Une assurance ne remplace en aucun cas les mesures de sécurité adéquates. Tout au contraire, elle les présuppose.
Nous avons souvent eu une situation où des exigences minimales ont été définies entre le client et l’assureur avant même que la conclusion d’une cyber-assurance ne s’avère possible. En sensibilisant et en améliorant activement une cybersécurité concrète, on accroît la résilience.
Par quoi le cyber-risque dans les entreprises est-il particulièrement augmenté ?
La numérisation et la connectivité accrues ont rendu les entreprises plus vulnérables aux cyberattaques. Le cloud-computing, l’informatique en nuage, a permis aux entreprises de gérer et redimensionner leur infrastructure IT et leurs données sans devoir gérer ou redimensionner leur propre infrastructure.
Mais les progrès des technologies ont aussi fait que les cyberpirates peuvent développer des méthodes toujours plus pointues qui ne sont pas détectées, ou alors trop tard, par les systèmes de sécurité. Les cybercriminels recourent à des technologies avancées pour attaquer, espionner et rançonner les entreprises. Après tout, ils vivent toujours du manque de sensibilisation et d’erreurs humaines consistant par exemple à ouvrir des messages de phishing ou à utiliser des mots de passe peu sécurisés.
Les ransomwares sont une menace souvent mentionnée. Doivent-ils être assurés ?
C’est une question complexe qui dépend de divers facteurs et on en débat intensivement. D’un côté, les ransomwares peuvent constituer pour les entreprises un risque financier énorme et entraîner des pertes massives, jusqu’à la faillite. Une assurance pourrait par conséquent servir de protection contre ce type d’attaque et offrir aux entreprises un certain soutien financier leur permettant de gérer les répercussions d’une extorsion.
À l’inverse, une assurance pourrait encore encourager les cybercriminels à commettre de telles attaques et ainsi augmenter encore le risque pour les entreprises. Il faut en outre se demander ce qui se passerait si la loi interdisait de payer des rançons. C’est un débat en cours qui est controversé mais activement mené.
Que faut-il alors pour couvrir les extorsions ?
En cas de ransomwares, les assureurs apportent une contribution précieuse par le biais de spécialistes de la parade et du traitement des événements. À cet égard, les attitudes des assureurs sont différenciées. Le traitement actif des ransomwares et les mesures prises au sein dans les entreprises déterminent leur fragilité, ou non, face aux cyber-extorsions.
En ce moment, chez certains prestataires la couverture est proposée par paliers : d’une couverture intégrale pour les risques bien établis jusqu’à une part à assumer par le client pour cette composante du risque en cas de risque moins bien établi.
Le cyber-incident typique
Au dire de Markus Haefeli, la préparation à un sinistre débute déjà au moment de conclure la police. Il est très important que le client comprenne comment il faut procéder du point de vue actuariel en cas d’incident concret. « Suivant le contrat de cyber-assurance existant, nous établissons des synopsis et en discutons avec le responsable. » La plupart des cyber-incidents se déroulent au mauvais moment, soit en-dehors des heures de bureau ou le week-end et les jours fériés. Or il importe d’annoncer le sinistre le plus vite possible à l’assureur. »
Une fois que les données de référence du cyber-incident ont été enregistrées, un premier contact se déroule à une échéance brève, définie par le contrat de cyber-assurance, avec le gestionnaire de crise en charge qui est souvent une société fiduciaire ou une étude d’avocats. Cette dernière suit l’incident et coordonne les intervenants qui s’avéreront nécessaires, police scientifique, conseils en communication ou conseillers juridiques. « Il s’agit en l’occurrence de prendre rapidement les premières mesures appropriées afin d’appréhender la cause du sinistre et si possible d’en limiter les dommages. » L’essentiel est alors de réparer le dommage, par exemple de remettre en marche le système informatique et récupérer les données. « Le calcul de l’éventuel dommage financier suit avec un léger retard et, suivant la complexité du cas, il peut être délicat. (sec)