Le imprese troppo poco tutelate contro il cyber risk

JÉRÉMY BRUNO

LE LLOYD’S PUBLIE UNE ÉTUDE SUR LES IMPACTS ÉCONOMIQUES DES CYBERATTAQUES. LE RISQUE EST COMPARABLE À CELUI DES CATASTROPHES NATURELLES.
Une cyberattaque mondiale à grande échelle pourrait causer plus de 50 milliards de dollars de pertes économiques, selon une étude publiée lundi par le Lloyd’s, le grand marché de l’assurance londonien. Soit l’équivalent… d’un très gros ouragan.

Pour mesurer l’impact économique potentiel de ce type d’attaque, la société californienne Cyence, spécialisée dans la modélisation du cyber-risque, a été chargée d’imaginer plusieurs cas possibles. « Nous avons choisi les deux scénarios qui auraient le plus fort impact en assurance, afin que l’industrie comprenne l’ampleur potentielle du cyber-risque », explique Trevor Maynard, responsable innovation au Lloyd’s.

Le premier scénario suppose le piratage d’un fournisseur de services informatiques de type cloud, entraînant une interruption des services fournis aux clients. Dans ce cas, l’étude estime les pertes économiques moyennes à 4,6 milliards de dollars pour un événement important, et à 53 milliards de dollars pour un événement majeur. Cependant, le risque étant difficile à estimer, cela reste une moyenne : les dommages pourraient évoluer entre 15 et 121 milliards de dollars.

Dans le second scénario, qui prend pour exemple une attaque contre le système d’exploitation d’ordinateurs utilisés par un grand nombre d’entreprises dans le monde, les pertes économiques s’élèveraient à près de 10 milliards de dollars en moyenne pour un événement important et 28,7 milliards de dollars pour un événement majeur. Des conséquences économiques comparables, voire supérieures, à celles de catastrophes naturelles. Considéré comme l’un des plus coûteux jusqu’à présent, l’ouragan Sandy qui a frappé les Antilles et les Etats-Unis en octobre 2012 avait occasionné des dégâts compris entre 50 et 70 milliards de dollars. « Tout comme certaines des pires catastrophes naturelles, les incidents cyber sont susceptibles d’avoir de graves répercussions sur les entreprises et les économies, de donner lieu à de multiples déclarations de sinistres et d’augmenter considérablement le coût des sinistres pour les assureurs », souligne Inga Beale, PDG du Lloyd’s.

Déficit d’assurance
Dans le cyber-risque, l’étude du Lloyd’s souligne cependant un important déficit d’assurance : dans le scénario du piratage de cloud, le montant assuré moyen s’élève à 8,1 milliards de dollars pour un événement majeur. Soit moins d’un cinquième (17 %) des pertes couvertes, représentant un déficit d’assurance de 45 milliards de dollars. Dans le second cas, le taux de couverture tombe à 7 %. La transformation digitale, qui touche toute l’économie, a vu naître ce nouveau type de menace. Or, « les entreprises n’ont pas forcément pensé à assurer le cyber-risque ni réalisé son ampleur », souligne Trevor Maynard. En 2016, les cyberattaques ont coûté 450 milliards de dollars aux entreprises.

Un secteur difficile à appréhender, mais une opportunité pour les assureurs
J. B.
LE MARCHÉ MONDIAL DE LA CYBERASSURANCE POURRAIT REPRÉSENTER 7,5 MILLIARDS DE DOLLARS EN 2020, SOIT LE DOUBLE D’AUJOURD’HUI.
Avec une menace de plus en plus présente, et la prise de conscience de l’ampleur des dommages potentiels d’une cyberattaque, la demande en assurance « cyber » est en plein essor. Ce marché représente entre 3 et 3,5 milliards de dollars dans le monde aujourd’hui. Selon des estimations, il pourrait peser 7,5 milliards de dollars à l’horizon 2020. « C’est un des seuls secteurs en croissance dans l’assurance. Le cyber-risque représente une vraie opportunité de développement pour les assureurs », souligne Luc Vignancour, du courtier Marsh. Chez l’assureur AIG, c’est aujourd’hui l’un des principaux axes de développement.

« La croissance est très forte sur cette activité sur les deux dernières années, notamment auprès des ETI et des PME dont le taux d’équipement est encore peu élevé », précise Christophe Zaniewski, directeur général d’AIG France. Une vraie opportunité, mais aussi un secteur risqué et difficile à appréhender. « C’est un risque qui n’a rien de commun aux autres. Il est complètement transversal, peut survenir n’importe où et n’importe quand. On peut même être touché sans avoir été la cible de l’attaque », explique Luc Vignancour.

« Très évolutif »
Une cyberattaque peut toucher un grand nombre d’entreprises, directement ou par ricochet, et l’assureur aurait ainsi à indemniser financièrement plusieurs clients de son portefeuille en même temps. De même, une attaque de ce type peut enclencher des garanties dans les autres contrats, hors cyberassurance, signées avec le client. Un risque de cumul susceptible de faire grimper la facture pour l’assureur et qui devrait pousser les acteurs à constituer des pools d’assurance. « C’est un challenge », reconnaît Christophe Zaniewski. « Cela fait une quinzaine d’années que nous couvrons ce risque très évolutif. Il faut être réactif. Grâce à notre expertise internationale nous savons adapter très vite nos modèles d’analyse de risque et augmenter nos capacités en conséquence », continue-t-il. Sans oublier la réassurance, qui entre aussi en jeu.
Fonte: