Aon: verso un record di attacchi cyber nel 2019

Secondo Aon, il numero di attacchi cyber nel I semestre è già superiore a quello degli interi anni 2015 e 2016. La gravità dei sinistri è anche in crescita. Questa estate Capital One si è fatta rubare i dati personali di 106 mln di clienti, in primavera la città di Baltimora è stata paralizzata per settimane dopo che la rete informatica cittadina è stata infettata da un ransomware …

Laurent Thévenin

D’après le courtier Aon, le nombre de cyberincidents sur le premier semestre est déjà supérieur aux niveaux des années 2015 et 2016 entières. La sévérité des sinistres est aussi en augmentation, selon un grand assureur.
La menace cyber bat son plein. Cet été, la banque américaine Capital One s’est fait voler les données personnelles de 106 millions de ses clients. Au printemps, la ville de Baltimore, aux Etats-Unis, a été paralysée pendant plusieurs semaines après que le réseau informatique de la municipalité a été infecté par un « ransomware » (logiciel extorqueur). En juin, le groupe français de services d’analyses pour la pharmacie, l’agroalimentaire et l’environnement Eurofins a lui aussi été victime d’une cyberattaque via un « rançongiciel » qui a entamé ses résultats financiers du premier semestre.
« Les données les plus récentes suggèrent que les ‘ransomwares’ et les fuites de données sont en augmentation par rapport à 2018, qui avait été l’année la plus prolifique en matière de fuites », signalent les experts d’Aon dans un rapport publié fin août. Le géant mondial du courtage d’assurance et de réassurance y a répertorié 3.718 cyberincidents dans le monde au premier semestre. Soit davantage que sur les années 2015 et 2016 entières, qui avaient connu respectivement 3.391 et 3.252 événements de ce type. Si le second semestre devait se poursuivre au même rythme, les niveaux atteints l’an dernier seraient largement dépassés (5.858 cyberincidents en 2018).
Dégâts des « ransomwares »
« Les ‘ransomwares’ continuent de faire des dégâts, car c’est l’un des modes opératoires les moins chers pour les cybercriminels. Nous n’avons pas moins de déclarations de sinistres qu’en 2018 et 2017 », indique Astrid-Marie Pirson, directrice technique de la souscription chez Hiscox France, qui assure essentiellement des PME et des TPE.
Le « ransomware » Sodinokibi, qui a causé un pic de sinistres en juin, sévit ainsi toujours. « Il y a de plus en plus de vagues d’attaques, soit ciblées sur des entreprises spécifiques, soit de masse », confirme Jean Bayon de la Tour, cyberleader chez le courtier Marsh pour l’Europe continentale. « Le nombre et surtout la sévérité des sinistres augmentent. Pour les ‘ransomwares’ par exemple, nous avons vu, en Europe, plusieurs dossiers supérieurs à 1 million d’euros, alors qu’il y a quelques années, les montants demandés étaient toujours relativement faibles, de l’ordre de quelques milliers d’euros », explique Paul Sterckx, directeur du département risques financiers d’AIG en France, l’un des leaders de l’assurance-cyber.
Dans ce contexte, certaines compagnies ont réagi. Aux Etats-Unis, de loin le premier marché mondial, les tarifs de la cyberassurance ont ainsi augmenté en moyenne de 2,5 % au deuxième trimestre pour les entreprises, selon Marsh. Mais, en France, « les prix sont stables ou en légère baisse, car il y a énormément d’assureurs qui veulent souscrire ces risques », rapporte Jean Bayon de la Tour.
« Le marché français est toujours l’un des plus compétitifs en Europe. Les assureurs peuvent encore consentir des baisses de primes si le risque est bon, mais ils deviennent de plus en plus regardants sur le processus de sécurité informatique et de protection des données mis en place par les entreprises », constate Ezéchiel Symenouh, spécialiste du cyberrisque chez le courtier Gras Savoye Willis Towers Watson.
Majorations tarifaires
Selon AIG, des majorations tarifaires sont aujourd’hui nécessaires. « Selon la sinistralité des clients et leur exposition, nous pouvons aussi être amenés à augmenter nos franchises [le seuil de sinistres à partir duquel intervient l’assurance, NDLR] », explique Paul Sterckx. Cet assureur limite par ailleurs ses engagements nets en réduisant le montant des capacités (garanties) qu’il accorde. En première ligne, il donne désormais plutôt 15 millions d’euros de capacités en net, contre 25 millions il y a cinq ans.

« Le cybersilencieux », un risque qui inquiète le secteur
L. T.
Les cyberattaques peuvent faire jouer des contrats classiques d’assurance-dommages ou de responsabilité civile. L’heure est à la prise de conscience du « silent cyber » et à la nécessité de clarifier les contrats.
Les cyberattaques font planer une menace « silencieuse » sur les assureurs. Des contrats classiques d’assurance-dommages (IARD) ou de responsabilité civile peuvent en effet être mis en jeu, alors qu’ils avaient souvent été conçus quand la menace n’était pas si forte qu’aujourd’hui. « Toute police qui ne comporte pas une exclusion explicite pour les cyberincidents peut être exposée », soulignaient les analystes de S&P Global Ratings dans un rapport publié en août.
« Les assureurs en sont à des stades différents dans l’évaluation de leur véritable exposition cyber, comprenant le ‘silent cyber’. C’est une priorité pour l’industrie parce que les limites d’exposition dans les polices d’assurance-dommages des entreprises sont souvent plusieurs fois supérieures à celles accordées par les polices cyberdédiées », alertait l’agence Moody’s dans un rapport paru cet été. Autrement dit, les enjeux financiers peuvent être colossaux.
Couvertures « affirmatives »
Rien d’étonnant, donc, si « la volonté des assureurs aujourd’hui est de couvrir les incidents cyber dans des polices spécifiques, car les polices traditionnelles ne sont pas tarifées pour couvrir ces risques », comme l’explique Ezéchiel Symenouh, chez le courtier Gras Savoye Willis Towers Watson.
Les compagnies semblent en tout cas bien décidées à s’attaquer au « cybersilencieux » et aux zones grises qui peuvent exister dans leurs contrats. « Nous travaillons actuellement sur ce sujet. Nous devrions nous orienter vers des couvertures affirmatives qui détaillent ce qui est couvert et ce qui ne l’est pas, afin que tout soit transparent pour le client », explique ainsi Paul Sterckx, directeur du département risques financiers d’AIG en France. Mouvement très remarqué dans le secteur, le géant mondial de l’assurance Allianz est en train de déployer une nouvelle stratégie de souscription des cyberrisques, en commençant par AGCS, sa filiale dédiée aux grands risques.
Des régulateurs se sont eux aussi emparés du sujet, à l’image de la Prudential Regulation Authority en Angleterre, qui a appelé en début d’année les assureurs britanniques à mettre en place des plans d’action.

Fonte: