Les Assis 2022 : Temps forts sur la Cyber Assurance !

L’édition 2022 de la Cybersecurity Conference a une nouvelle fois fait la lumière sur la Cyber Assurance, s’interrogeant sur les alternatives qu’auraient les entreprises si elles ne souscrivaient pas aux contrats proposés.

Lors de cette table ronde, animée par Florence Puybareau, Directrice Contenu et Communication DG Consultants, Anne Cridlig, Responsable Responsabilité Civile Professionnelle & Cyber Department Financial Lines Zurich Insurance, Philippe Cotelle, Administrateur de l’AMRAE (Association pour la Gestion des Risques des Entreprises et des Assurances), Sébastien Heon, Cyber Solutions Deputy Chief Underwriting Officer Scor, et Gilles Berthelot, directeur sécurité numérique groupe SNCF .

Dans un propos introductif, Florence Puybareau a rappelé que cela faisait plusieurs années qu’une table ronde n’était pas consacrée à la cyberassurance, mais qu’au vu des événements récents et des différentes prises de position, le Comité de pilotage des Assises a décidé de tenir une nouvelle table ronde sur ce sujet. .

Elle ajoute qu’il y a effectivement de plus en plus de cyberattaques, notamment de ransomwares, et que les RSSI ont fait part de leurs inquiétudes et de leurs craintes.

Le sujet de la Cyber Assurance est donc plus que jamais d’actualité, l’objectif de cette table ronde était d’explorer les réponses des assureurs et réassureurs, et de se faire des idées sur la façon dont les RSSI et Risk Managers ou Directeurs de ‘Assurances’ peuvent trouver des solutions à la cyber des risques.

LUCY 2 : Une analyse de l’évolution du marché de la cyberassurance

Philippe Cotelle a analysé l’étude LUCY 2 (Light on Cyber insurance) publiée en juin 2022. L’objectif de l’étude est de fournir une meilleure référence sur l’évolution du marché, des primes et des sinistres, dans un contexte d’économie devenue de plus en plus numérique avec l’exposition croissante des entreprises aux risques cyber, et ce sur le long terme. terme. Il a pris l’exemple de la cyber-attaque qui a frappé la société Merck, dont la perte a été estimée à 1,4 milliard de dollars, démontrant que la manière de financer le risque cyber est essentielle pour les entreprises. Le risque de financement est une assurance. En 2020, l’étude LUCY a montré que les assureurs en France perdaient beaucoup d’argent à cause de la cyberassurance avec un ratio de sinistres à primes de 167%, ce qui signifie qu’ils ont payé 1,67 fois plus que les sinistres qu’ils ont reçus en primes. 4 sinistres sur la seule année 2020 ont suffi à absorber l’intégralité de la prime du marché français. En 2021, l’enquête LUCY a montré une augmentation du volume des primes de près de 40 %. En moyenne, pour les entreprises de plus de 1,5 milliard, la prime d’assurance a doublé et la franchise a été multipliée par 10 avec une moyenne de 4 millions. Le montant assuré a baissé en moyenne de 25% à 30 millions. Concernant les ETI (Entreprises de Taille Intermédiaire), le phénomène est différent, car en 2021 beaucoup ont souscrit une cyber assurance et la hausse des primes a été moins importante, avec une forte amélioration des sinistres assurés. D’autre part, en multipliant par 5 le montant des sinistres, avec un ratio sinistres/primes de 250 %, cela signifie que les assureurs ont payé 2,5 fois plus de sinistres qu’ils n’ont reçu de primes. En conclusion, on peut craindre qu’en 2022 les exigences d’assurabilité des ETI soient aussi fortes que ce que nous avons connu p pour les grandes entreprises en 2021.

Le cyber trop risqué pour le secteur de la réassurance

Du côté du réassureur, Sébastien Heon de Scor, « celui qui assure l’assureur » selon Florence Puybareau, rappelle que le réassureur a pour clients des assureurs, ce qui signifie qu’en échange d’une partie de la prime que ce dernier verse sur une branche comme cyber, le réassureur paie une partie des sinistres. Des capitaux sont fournis aux assureurs afin qu’ils puissent alimenter leurs souscriptions, conclure de nouveaux contrats et qu’ils aient la capacité financière d’honorer les contrats. Nous apportons de la liquidité au marché de l’assurance. La réassurance est basée sur les catastrophes naturelles, c’est comme ça que ça s’est fait. Cela fonctionne parce qu’il y a une mutualisation géographique des risques. Le réassureur va construire sa capacité financière de manière géographiquement diversifiée, en s’appuyant sur des catastrophes naturelles ne se produisant pas dans tous les pays du monde en même temps, du moins avant la réalité du changement climatique. Le problème avec le cyber, c’est qu’il n’y a pas de diversification géographique des cyber-risques, car une cyber-attaque comme celle en Ukraine pourrait frapper les États-Unis (dans le cas de Merck) et d’autres endroits dans le monde en même temps. Les catastrophes naturelles se produisent également de façon saisonnière, mais pas de saisonnalité pour les cyberattaques. Le fait que le risque cyber ne puisse pas être diversifié, ni géographiquement ni dans le temps, a une conséquence très importante, qui est que le risque cyber consomme beaucoup de capital pour un réassureur, du fait de la mobilisation d’une grande partie, car il ne peut pas être diversifié géographiquement ou temporellement. Donc c’est très cher. Une autre chose à noter est que les réassureurs eux-mêmes ont aussi des réassureurs appelés rétrocessionnaires. Et quand il s’agit de cyber, cette branche est peu développée parce qu’elle est généralement fondée par les marchés financiers qui apportent des capitaux, mais elle a peu de sens dans le cyber parce qu’elle avoir peur des risques cyber et ne pas vraiment comprendre comment cela fonctionne. Ils ne savent pas s’il s’agit de risques courts ou longs. Enfin, la réassurance est une profession très réglementée avec des normes qui fixent la limite du capital pouvant être engagé pour un risque donné. Il termine en disant que les réassureurs ont désormais atteint le capital maximum qu’ils peuvent allouer au risque cyber.

Faut-il couvrir les risques cyber, si oui comment ?…

Florence Puybareau en profite pour préciser qu’il faut en conclure que la responsabilité de cette situation tendue serait donc la faute du régulateur et qu’il devrait être invité à la table ronde en 2023. Elle donne la parole à Gilles Berthelot et lui dit que la SNCF représenterait donc les entreprises qui seraient victimes de cette situation, mais Gilles répond avec humour « plutôt les vaches laitières ». Gilles Berthelot explique que la SNCF et d’autres entreprises ont l’impression de payer toujours plus tout en étant moins couvertes, avec une certaine frustration. Les primes augmentent, les franchises augmentent et la couverture maximale diminue. Anne Cridlig, qui représente l’assureur, explique que 2020 et 2021 ont été deux années terribles au cours desquelles les attaques de ransomware se sont multipliées, ce qui a coûté très cher en intensité et en nombre, et que c’est l’un des défis auxquels est confronté un marché de l’assurance. qui n’a que dix ans en France. Nous ne sommes pas sur un marché aussi mature que celui de l’assurance responsabilité civile, incendie et biens. Enfin, le contexte géopolitique des menaces potentielles n’aide pas à garder son calme face à ce risque cyber, avec le risque lié à l’interconnexion internet qui pourrait toucher plusieurs clients à la fois. Les coûts de réassurance ne s’améliorent donc pas. L’ensemble de ces constats conduit Florence Puybareau à s’interroger sur les solutions alternatives au modèle de cyberassurance tel qu’il est appliqué aujourd’hui. Anne Cridlig propose des concertations régulières entre l’assureur et les compagnies (Risk Manager, CISO, Broker, Insurance Director) pour évaluer ensemble les risques identifiés, comprendre le contexte puis proposer des solutions adaptées. Sébastien Heon suggère ou de se demander si l’entreprise doit couvrir simultanément le risque courant, et ce qui pourrait être considéré comme une catastrophe, sur le modèle des risques d’incendie ou de dommages matériels. Gilles Berthelot évoque les réflexions actuelles sur la captive (entreprise d’assurance ou de réassurance faisant partie d’une entreprise ou d’un groupe dont l’activité commerciale n’est pas l’assurance). Philippe Cotelle, appelle à une réflexion sur les possibilités de mutualisation de la cyberassurance entre différentes compagnies. La dernière question était de savoir si l’assureur pouvait intenter une action en justice contre les éditeurs de logiciels à l’avenir.

Apprendre les expressions françaises

Activité physique, cuisine, conseils fitness : suivez le programme Prévention Cancer

Infertilité : 3 conseils d’un psychologue pour gérer cette période

Bien-être : une appli pour méditer en marchant

5 conseils pour combattre le stress avant votre mariage

Méditations pour débutants : 8 conseils essentiels d’un professionnel pour vous lancer