Speciale risk management: il cyber risk in cima alla classifica dei rischi

In occasione dell’incontro dell’associazione di risk management Amrae gli esperti si sono confrontati sulle preoccupazioni attuali per i risk manager delle imprese: il cyber risk sale in testa ai rischi temuti dalle imprese.

A l’occasion des 27 es Rencontres de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), à Deauville, tour d’horizon des préoccupations actuelles de celles et ceux qui gèrent le risque en entreprise.
Plusieurs années que le sujet monte dans les classements. Plusieurs années que les incidents puis les cyber événements le laissaient présager.La situation a définitivement basculé en ce début de 2019 : dans presque tous les classements, le cyber se place désormais en tête des risques auxquels les entreprises sont confrontées. Notamment dans le récent Baromètre des risques publié chaque année par Allianz Global Risk Services : les incidents cyber se placent au premier rang en France, comme aux niveaux européen et mondial.
Pourquoi seulement maintenant, presque deux ans après Wanacry et NotPetya, et alors que les spécialistes tirent la sonnette d’alarme depuis longtemps ? « Le RGDP a revisité les principes et créé le buzz sur le risque de la donnée. Parallèlement, les dirigeants sont passés aux choses sérieuses dans la transformation de leurs business models et les développements de services digitaux. Cela a aiguisé leur perception du cyberrisque », estime Brigitte Bouquot, la présidente de l’Amrae. « Le cyber constitue le risque majeur aujourd’hui. Parce qu’il peut être très dommageable pour toute entreprise et parce qu’il peut prendre une ampleur systémique. La plupart des grands groupes et ETI l’ont compris, mais il reste encore à sensibiliser les PME et les plus petites ETI », complète François Leduc, directeur général adjoint du courtier d’assurance Verspieren. De fait, le coût des attaques aurait augmenté de plus de 50 % en 2018 (étude Radware), pour atteindre 1,1 million de dollars, constitués notamment des pertes opérationnelles, d’une diminution de la productivité, d’une atteinte à l’image, etc. C’est moins, bien sûr, dans les petites entreprises, mais une étude récente de Kaspersky et Euler Hermes montre que, dans un tiers des cas, les PME françaises attaquées perdent plus de 10.000 euros…
Incendies et explosions
Les autres sujets de préoccupations ? Ils demeurent, bien sûr. Les interruptions d’activité (37 % des réponses) se placent devant les catastrophes naturelles (28 %), les évolutions législatives et réglementaires (27 %), les évolutions de marché (23 %) ou encore les incendies et explosions (19 %). Côté sinistres, ce sont d’ailleurs ces derniers qui coûtent le plus cher, avec 24 % de la valeur totale payée par les assureurs sur les cinq dernières années, devant les collisions et accidents d’avions (14 %), et les travaux défectueux (8 %).
Mais les classements sont loin d’être figés : le changement climatique et la pénurie de main-d’oeuvre qualifiée montent déjà en puissance, et de nouveaux thèmes pourraient revenir en force. « Le développement de l’intelligence artificielle soulève des questions en matière de la responsabilité, entre utilisateur, concepteur, fabricant, etc. Par ailleurs, la crise des ‘gilets jaunes’ a fait revenir sur la table le sujet des pertes d’exploitations sans dommage… », soulève François Leduc. Une multiplication des sujets et des préoccupations qui semble conduire, finalement, à une hypersensibilisation au risque et au développement d’une « culture du risque » de plus en plus aiguë dans la société. « Le sujet est repris par un nombre croissant de professions, depuis les économistes jusqu’aux dirigeants. Tout le monde est aujourd’hui concerné : comme l’information est accessible à tous, chacun devient un peu risk manager et pratique une certaine ‘gestion des risques’, dans sa vie privée comme professionnelle », indique Brigitte Bouquot. Avec, pour les véritables professionnels du sujet, deux conséquences.
Compétences élargies
Tout d’abord, un élargissement des compétences attendues. « Le risk manager doit traiter de plus en plus d’informations, appréhender un environnement économique en constante évolution et maîtriser une multitude de technologies : analyse de la donnée, blockchain, IA et la robotisation », jugeait Ferma, la Fédération qui réunit les professionnels du risque au niveau européen, dans une étude récente sur le profil des risk managers.
Par ailleurs, le nombre de professionnels ne cesse de croître, avec notamment une présence de moins en moins exceptionnelle dans les PME importantes et les ETI. Au point que les Rencontres 2019 vont afficher un record d’audience : plus de 2.800 professionnels du risque sont attendus à Deauville.

Fabien Caparros : « Toutes les entreprises ne sont pas au même niveau de maturité face au cyberrisque »
Cécile Desjardins
Les entreprises ont-elles (enfin) pris la mesure du cyberrisque ?
Il y a eu une vraie prise de conscience. Le bouleversement numérique a touché tous les secteurs et les systèmes d’information sous-tendent, partout, la création de valeur, tandis que les activités sont de plus en plus intégrées et interconnectées. Or les événements informatiques du printemps 2017 ont montré que les attaques pouvaient toucher de façon large et indiscriminée tous les secteurs et entraîner, en peu de temps, des pertes financières très importantes. Toutes les entreprises se sentent donc concernées aujourd’hui par le cyberrisque : c’est devenu un risque stratégique majeur, qu’il faut traiter au même titre que les risques financiers, RH ou opérationnels.
Malheureusement, au-delà de la prise de conscience, il y a de vraies différences entre les secteurs et les entreprises dans la maturité de la réponse donnée : les secteurs qui ont depuis longtemps développé une activité numérique, comme la banque, sont plus en avance. D’une entreprise à l’autre, la situation varie surtout en fonction de la culture du risque et des moyens qui sont dédiés à la sécurité.
Que doivent-elles redouter aujourd’hui ?
Les cyberattaques sont souvent fulgurantes mais leurs impacts peuvent durer dans le temps et leurs effets être très divers. Dans certains cas, l’entreprise peut voir ses capacités opérationnelles et ses processus essentiels totalement paralysés. De plus en plus d’acteurs malveillants s’introduisent aussi discrètement, mais « en profondeur » dans les systèmes, avec un fort risque d’espionnage et de vol de données. En outre, au-delà du périmètre de l’entreprise,il devient essentiel de connaître et de bien maîtriser son écosystème. La manière dont une entreprise interagit avec ses diverses partenaires ouvre dans le cyberespace de nombreuses portes qu’il convient de surveiller.
Quels moyens de défense les entreprises peuvent-elles mettre en jeu ?
Le domaine de la cybersécurité est monté en maturité, avec une meilleure connaissance de la menace, le développement de bonnes pratiques et de solutions innovantes et enfin la mise en place d’une réglementation adaptée. Les entreprises peuvent donc aujourd’hui mettre en place une approche de cybersécurité progressive et rationnelle. Il faut bien sûr, en premier lieu, bâtir un socle de sécurité solide, avec des outils de détection, une défense en profondeur, etc. Mais le cyberrisque ne peut être traité que par des mesures techniques. Nous recommandons de mettre en place un management du risque qui implique tous les échelons de l’entreprise, du niveau de direction qui fixe la stratégie et les moyens jusqu’aux équipes dites « métier » qui mettent en oeuvre la cybersécurité.
Pour aider les entreprises, l’Anssi propose de nombreux guides reconnus pour leur expertise et très appréciés, mais aussi une méthode d’analyse du risque cyber novatrice (Ebios Risk Manager, publiée en octobre dernier) et un Mooc pour permettre au plus grand nombre de mieux comprendre le domaine. Enfin, nous aidons les entreprises à identifier les solutions et les prestataires de services de sécurité de confiance au travers des visas de sécurité que nous délivrons.

La cyberassurance gagne du terrain sur fond de montée des dangers
Laurent Thévenin
Assureurs et courtiers font état d’une demande en forte hausse. Les conditions restent globalement favorables pour les entreprises, même si les tarifs ne baissent plus.
Le marché de la cyberassurance a pris son essor en France. « Entre 2016 et 2017, notre portefeuille avait doublé de taille. Il a encore augmenté de 50 % en 2018. Les grands comptes étaient déjà bien sensibilisés. Le ‘middle market’ s’y intéresse de plus en plus », indique ainsi Sophie Parisot, responsable produit cyber chez AIG France, l’un des leaders du marché. Chez Allianz Global Corporate & Specialty (AGCS) France, un assureur positionné sur les entreprises réalisant plus de 500 millions d’euros de chiffre d’affaires, on fait aussi état d’une « explosion » de la demande. Et les grands comptes qui étaient déjà assurés achètent des couvertures supplémentaires, signalent plusieurs opérateurs.
Rien d’étonnant : selon le dernier baromètre des risques d’Allianz, les cyberincidents sont désormais vus par les entreprises comme leur menace numéro un en France. De l’avis général, les cyberattaques géantes WannaCry et NotPetya de 2017 ont accéléré la prise de conscience dans les états-majors. « Depuis un an, nous sommes de plus en plus sollicités pour quantifier les impacts financiers d’une cyberattaque, les conséquences opérationnelles étant, elles, déjà relativement bien connues par les entreprises », explique également Fabrice Domange, le président du courtier Marsh France.
Prudence
Une autre raison inciterait les entreprises non couvertes à sauter le pas. « Bien souvent, en particulier dans les sociétés cotées, c’est l’impératif de bonne gouvernance qui est l’un des critères de mise en place de garanties cyber et qui permet la création d’un budget nouveau dédié aux assurances », affirme Robert Leblanc, PDG du courtier Aon France. D’après Marsh France, plus de 75 % des entreprises du CAC 40, plus de 40 % des sociétés du SBF120 et seulement de 2 à 5 % des PME seraient équipées, pour un volume total de primes atteignant désormais 80 millions d’euros.
Alors que les sinistres commencent à affluer, les conditions tarifaires resteraient globalement favorables pour les acheteurs. « Les prix ne baissent, certes, plus, mais ils restent bas. Les assureurs auraient même plutôt tendance à en offrir plus pour la même prime », affirme Robert Leblanc. Malgré tout, « des entreprises de taille moyenne se contentent encore trop souvent de garanties minimalistes, avec des capacités de 10, 15 ou 25 millions d’euros, alors qu’il faudrait qu’elles se couvrent au moins à hauteur du double ou du triple », constate Hervé Houdard, vice-président et directeur général de Siaci Saint Honoré.
Alimenté par une trentaine d’assureurs, ce marché promis à un bel avenir offre une capacité théorique totale de 700 millions d’euros. Un niveau qui fait que « le marché est capable de répondre à la plupart des demandes de couvertures », affirme Jean Rondard, membre du comité exécutif de Gras Savoye Willis Towers Watson. Il n’en reste pas moins que les assureurs se montrent plus prudents. « Comme le risque se matérialise de plus en plus, à l’instar de nos concurrents, nous avons baissé un peu nos capacités pour nous protéger et rester pérennes sur ce marché en développement », justifie-t-on chez AIG France, qui accorde en général entre 15 et 25 millions d’euros de garanties. « La difficulté avec le cyberrisque, c’est qu’il peut se produire partout, dans tous les secteurs, dans les toutes les entreprises et au même moment. Nous sommes donc très attentifs au risque de cumul », renchérit Corinne Cipière, directrice générale d’AGCS France, qui a descendu ses limites autour de 25 millions d’euros. « Sur les programmes importants pour des institutions financières ou des entreprises industrielles, par exemple, et avec des couvertures très spécifiques, les discussions avec les assureurs peuvent parfois être un peu plus difficiles », constate Fabrice Domange.
Face à un risque cyber potentiellement ravageur, les différents intervenants pointent un autre impératif. « Les capacités maximales qui peuvent être mobilisées ne correspondent pas à la réalité du risque. Clairement, la première des garanties pour une entreprise, c’est d’avoir une politique de prévention des risques cyber », explique Robert Leblanc. Il s’agit aussi pour les entreprises d’être capables de remettre en route leur activité le plus vite possible après une attaque.
Clarification des contrats
Autant de raisons, selon les différents opérateurs, de prendre des polices cyber à part entière. « Elles donnent accès à des services de prévention et à des outils de gestion de crise », insiste Sophie Parisot. « Une police dommages avec une extension de garanties ne remplacera jamais une vraie police cyber, car les couvertures ne sont pas aussi étendues », ajoute Fabrice Domange.
L’heure est aussi à la clarification des contrats. « Il y a encore beaucoup de vieilles polices d’assurance-dommages, de responsabilité civile ou transport qui laissent un flou sur les garanties cyber. Il faut absolument repréciser ce qui est couvert ou non », explique Corinne Cipière. Des assureurs commencent d’ailleurs à retirer les extensions de garanties cyber dans les contrats dommages ou RC pour mieux maîtriser leurs engagements, indique Jean Rondard.

La perte d’exploitation sans dommages, une garantie plus que jamais recherchée
L. T.
La demande des entreprises pour des assurances pertes d’exploitation sans dommages matériels est forte. Mais l’offre reste réduite.
L’assurance des pertes d’exploitation sans dommages matériels n’a peut-être jamais été autant d’actualité en France. Les magasins et grandes enseignes dont l’accès a été perturbé ou paralysé par le mouvement des « gilets jaunes » vont se rendre compte de son intérêt. Les (rares) entreprises ayant souscrit une telle garantie pourront demander à se faire indemniser pour la baisse de chiffre d’affaires. Les autres ne pourront prétendre à rien, car leurs assurances pertes d’exploitation traditionnelles ne jouent qu’en cas de dommages directs. Le contexte actuel suscite en tout cas beaucoup de questions. « Nous avons été très sollicités par nos assurés ces derniers temps, en particulier ceux qui ont moins vendu du fait des blocages », explique Hervé Houdard, directeur général et vice-président de Siaci Saint Honoré.
Alors que l’interruption d’activité est régulièrement citée par les entreprises comme l’un de leurs principaux risques, la demande pour de telles couvertures n’est pas nouvelle. « Mais il n’y a toujours pas beaucoup de réponses significatives du côté des assureurs », souligne Hervé Houdard. « On ne trouve pas de produits sur étagère, et on innove au cas pas cas », indique Jean Rondard, membre du comité exécutif de Gras Savoye Willis Towers Watson. Seule quelques assureurs proposent ce type de garantie. « Les capacités sont encore anecdotiques au regard des risques encourus par les entreprises », affirme Laurent Belhout, directeur général d’Aon France. Selon Hervé Houdard, « il faut au moins entre 25 et 50 millions d’euros de garanties, voire beaucoup plus pour les 250 premières entreprises françaises ». Allianz Global Corporate & Specialty (AGCS) France, le leader du marché, dit pouvoir monter jusqu’à 100 millions d’euros de capacités. Les assureurs se retrouvent dans un cas de figure qui les rend frileux : « Les cas de pertes d’exploitation sans dommages sont très difficiles à appréhender et à modéliser », comme l’explique Laurent Belhout.
« Pour bâtir une vraie police pertes d’exploitation sans dommages, il faut véritablement entrer dans l’intimité des entreprises pour avoir une bonne vision de leurs fournisseurs clefs. Cela nécessite donc un vrai investissement de notre part et de la leur », souligne Corinne Cipière, directrice générale d’AGCS France. « Il n’y a pas de ‘one size fit all’. C’est vraiment du sur-mesure », insiste-t-elle. D’autant que les garanties sont accordées sur la base de « périls dénommés », c’est-à-dire de certains facteurs déclencheurs, comme le retrait d’agrément pour une entreprise pharmaceutique ou la rupture de la chaîne de transport logistique.

Fonte: