Longtemps négligées, les polices d'assurance cyber trouvent enfin leur place chez les PME et ETI. Tous les secteurs sont concernés.
Risque cyber : « L'attaque contre Sony a servi de révélateur » (Jérôme Gossé, Zurich)
Décideurs. Malgré un fort potentiel, la commercialisation des produits cyber a tardé à décoller depuis le lancement des produits en 2011. Quel est l’état du marché aujourd’hui ?
Jérôme Gossé. Les produits d’assurance cyber ont été lancés dans les années 2000 sur les marchés américains et asiatiques avant que la France ne devienne le marché pilote pour leur adaptation en Europe début 2011. Il fallait que les polices et leur structure puissent être comprises par des non-initiés. Les contrats anglo-saxons ont beaucoup d’avenants, ce qui rend leur lecture difficile. Nous avons donc réintégré tous les éléments essentiels dans une police unique qui est modulaire et s’adapte en fonction des besoins. Après deux années calmes, le marché a enfin décollé en 2014.
Décideurs. Pour quelles raisons ces produits sont-ils arrivés plus tard en Europe ?
J. G. Si nous avons dix ans de retard sur les Américains, c’est parce que la Californie a imposé à ses entreprises de notifier au public leurs failles de sécurité dès 2003. C’est donc le contexte réglementaire qui a poussé le marché à se développer, alors qu’il est encore embryonnaire en Europe, hormis dans le secteur des télécoms. L’attaque dont Sony a été la cible en 2011 a ensuite servi de révélateur, même si le marché est resté plat jusqu’en 2013 : les entreprises pensaient à tort ne pas être exposées au risque cyber. Et le coût engendré par la souscription à une ligne d’assurance supplémentaire a joué dans la prise de décision des risk managers.
Décideurs. Qui sont les souscripteurs des polices cyber ?
J. G. Les PME sont aussi concernées que les grandes entreprises, qui restent pourtant bien plus nombreuses à s’assurer. Elles souscrivent une police master au niveau du groupe et qui s’applique à toutes les succursales, comme c’est souvent le cas aux États-Unis où nous les adaptons à la réglementation et à la compliance locale. Quant aux PME, je pense qu’elles ne devraient pas se détourner des polices cyber. Elles n’ont pas toujours la capacité financière d’absorber les dommages, ni les process permettant de s’en protéger efficacement.
Décideurs. Quelles sont les industries concernées ?
J. G. Toutes le sont d’une façon ou d’une autre car les systèmes d’information contrôlent la plupart de l’activité. Prenez une enseigne de distribution. Son risque porte sur les caisses en magasin, la logistique, les centrales d’achat, les cartes de fidélité intégrant les données bancaires, etc. On voit bien que c’est le cœur même de l’activité qui est concerné, et le risque va bien au-delà des sites de e-commerce comme on a parfois tendance à le penser au premier abord.
Décideurs. Une partie du marché doute de l’efficacité des polices cyber et de leur mise en œuvre efficace lors de la survenance de sinistres importants…
J. G. Il n’y a rien de vraiment nouveau dans ces polices. Les garanties de RC en cas de divulgation de données existent déjà, ainsi que les garanties relatives aux pertes d’exploitation et aux dommages. Sur tous ces éléments, les assureurs ont de l’expérience. C’est simplement le fait générateur qui est différent. La distribution des assurances cyber passe par un réel effort de conviction quant à la simplicité du produit : il n’est pas réservé aux ingénieurs informaticiens !
Nous travaillons en outre sur les réponses à apporter à la survenance d’un incident majeur ou systémique. En matière informatique, une attaque sur un seul prestataire peut impacter tous les assureurs. Le risque est comparable à celui d’une catastrophe naturelle, sachant que dans le cas de ces dernières, on connaît les adresses des sinistrés. C’est plus délicat lorsqu’il s’agit d’immatériel...
Décideurs. Peut-on encore innover en matière d’assurance ?
J. G. Notre stratégie d’innovation réside dans la fourniture de services complémentaires à la simple assurance. Il faut que la relation avec l’assuré ne se limite pas à un chèque : dès que nécessaire, nous mettons nos clients en relation avec les meilleurs panels d’avocats, des experts informatiques, des experts de la collecte de preuve, ou encore des entreprises qualifiées pour notifier les fuites.
Jérôme Gossé. Les produits d’assurance cyber ont été lancés dans les années 2000 sur les marchés américains et asiatiques avant que la France ne devienne le marché pilote pour leur adaptation en Europe début 2011. Il fallait que les polices et leur structure puissent être comprises par des non-initiés. Les contrats anglo-saxons ont beaucoup d’avenants, ce qui rend leur lecture difficile. Nous avons donc réintégré tous les éléments essentiels dans une police unique qui est modulaire et s’adapte en fonction des besoins. Après deux années calmes, le marché a enfin décollé en 2014.
Décideurs. Pour quelles raisons ces produits sont-ils arrivés plus tard en Europe ?
J. G. Si nous avons dix ans de retard sur les Américains, c’est parce que la Californie a imposé à ses entreprises de notifier au public leurs failles de sécurité dès 2003. C’est donc le contexte réglementaire qui a poussé le marché à se développer, alors qu’il est encore embryonnaire en Europe, hormis dans le secteur des télécoms. L’attaque dont Sony a été la cible en 2011 a ensuite servi de révélateur, même si le marché est resté plat jusqu’en 2013 : les entreprises pensaient à tort ne pas être exposées au risque cyber. Et le coût engendré par la souscription à une ligne d’assurance supplémentaire a joué dans la prise de décision des risk managers.
Décideurs. Qui sont les souscripteurs des polices cyber ?
J. G. Les PME sont aussi concernées que les grandes entreprises, qui restent pourtant bien plus nombreuses à s’assurer. Elles souscrivent une police master au niveau du groupe et qui s’applique à toutes les succursales, comme c’est souvent le cas aux États-Unis où nous les adaptons à la réglementation et à la compliance locale. Quant aux PME, je pense qu’elles ne devraient pas se détourner des polices cyber. Elles n’ont pas toujours la capacité financière d’absorber les dommages, ni les process permettant de s’en protéger efficacement.
Décideurs. Quelles sont les industries concernées ?
J. G. Toutes le sont d’une façon ou d’une autre car les systèmes d’information contrôlent la plupart de l’activité. Prenez une enseigne de distribution. Son risque porte sur les caisses en magasin, la logistique, les centrales d’achat, les cartes de fidélité intégrant les données bancaires, etc. On voit bien que c’est le cœur même de l’activité qui est concerné, et le risque va bien au-delà des sites de e-commerce comme on a parfois tendance à le penser au premier abord.
Décideurs. Une partie du marché doute de l’efficacité des polices cyber et de leur mise en œuvre efficace lors de la survenance de sinistres importants…
J. G. Il n’y a rien de vraiment nouveau dans ces polices. Les garanties de RC en cas de divulgation de données existent déjà, ainsi que les garanties relatives aux pertes d’exploitation et aux dommages. Sur tous ces éléments, les assureurs ont de l’expérience. C’est simplement le fait générateur qui est différent. La distribution des assurances cyber passe par un réel effort de conviction quant à la simplicité du produit : il n’est pas réservé aux ingénieurs informaticiens !
Nous travaillons en outre sur les réponses à apporter à la survenance d’un incident majeur ou systémique. En matière informatique, une attaque sur un seul prestataire peut impacter tous les assureurs. Le risque est comparable à celui d’une catastrophe naturelle, sachant que dans le cas de ces dernières, on connaît les adresses des sinistrés. C’est plus délicat lorsqu’il s’agit d’immatériel...
Décideurs. Peut-on encore innover en matière d’assurance ?
J. G. Notre stratégie d’innovation réside dans la fourniture de services complémentaires à la simple assurance. Il faut que la relation avec l’assuré ne se limite pas à un chèque : dès que nécessaire, nous mettons nos clients en relation avec les meilleurs panels d’avocats, des experts informatiques, des experts de la collecte de preuve, ou encore des entreprises qualifiées pour notifier les fuites.
