S’assurer contre les cyber-risques: face à la hausse des cyberattaques, la question gagne en pertinence pour les entreprises. Au , dont la 16e édition s’est ouverte ce mardi 26 mars à Lille, le sujet est fréquemment abordé et génère un vif intérêt. pour l’assurance cyber entreprises, que ce soit le niveau des primes (élevé) ou le nombre d’offreurs (faible).
Principal acteur au Luxembourg, Foyer a accepté de lever le voile sur cette activité relativement jeune. Sans donner de chiffres, le groupe dessine un marché orienté positivement. «Même pour les victimes de sinistres, le renouvellement des contrats semble se faire sans heurts, ce qui témoigne de la confiance des assureurs dans leurs pratiques actuelles», observe le responsable Banques et Captives au sein du département Grands comptes et risques spéciaux de Foyer, Kris Van Roye. Il est aussi en charge du dossier cyber.
Comment se porte le marché de l’assurance cyber au Luxembourg?
Kris Van Roye. – «Assez bien, mieux en tout cas qu’il y a deux ou trois ans, juste après la crise sanitaire. À ce moment-là, les sociétés qui n’avaient pas de couverture cyber ne trouvaient pas d’assureurs acceptant de souscrire ce risque. Et celles qui en avaient une étaient confrontées à de fortes hausses de prix, voire parfois des limitations des montants assurés, lors des renouvellements. Aujourd’hui, la situation s’est calmée: c’est un peu plus facile de trouver une capacité et les prix se sont stabilisés.
Stabilisés… à un niveau élevé?
«Les prix sont plus élevés qu’il y a quelques années, mais je pense qu’ils étaient beaucoup trop bas à l’époque. Il est vrai aussi qu’aujourd’hui, les assureurs analysent plus en détail les demandes, notamment sous l’angle des mesures de sécurité prévues, pour donner une capacité. Et les sociétés qui n’ont pas de mesures en place ne trouvent pas chaussure à leur pied.
Comment cette évolution s’explique-t-elle?
«C’est une question de cycle. Le marché est dominé par de grands acteurs internationaux, comme AIG, Allianz et Zurich. Ces derniers sont très actifs dans les pays anglo-saxons, où la législation est telle qu’il y a beaucoup plus de plaintes et de recours en justice que chez nous. Il suffit que ces acteurs-là soient confrontés à quelques gros sinistres pour que leur appétit diminue. Ils ont donc perdu pas mal de primes et de clients. Maintenant, l’appétit revient, sous l’effet de deux facteurs. D’une part, la sinistralité n’est plus jugée mauvaise au point de laisser les vannes fermées. D’autre part, les clients n’achètent plus aveuglément: ils sont conscients des risques existants et les mesures de protection s’améliorent.
La demande est loin d’être comparable à celle pour l’assurance auto.
Quel est l’état actuel de la demande pour de telles couvertures d’assurance?
«Soyons clairs: la demande est loin d’être comparable à celle pour l’assurance auto ou habitation. Mais nous notons une demande accrue depuis quelques années. Les clients sont de plus en plus sensibles au risque de cyberattaques. La presse fait régulièrement état de victimes, petites ou grandes. L’assurance cyber n’est pas encore une commodité, un produit de consommation courante, mais la demande est là – même si elle ne mène pas toujours à la conclusion. On peut dire que la situation évolue dans le bon sens.
Qu’est-ce qui soutient la demande?
«Dans les baromètres des risques réalisés par les compagnies d’assurance ou les courtiers, on voit que le cyber est l’une des top priorités des chefs d’entreprises. Surtout avec l’arrivée programmée de nouvelles directives européennes, qui rendent le conseil d’administration de chaque entreprise personnellement responsable des données de la société.
Quelle part des revenus de Foyer provient de l’assurance cyber?
«On parle d’une part inférieure à 5%. Cela reste marginal, pour Foyer comme probablement pour d’autres acteurs du marché.
Quel objectif visez-vous?
«Si d’ici cinq à dix ans, Foyer parvient à générer 10% de ses revenus avec le cyber, nous aurons fait du bon travail. Pour cela, il faut doubler le nombre de souscriptions, donc tripler la demande.
Peut-on parler d’un marché en expansion au Luxembourg?
«Certainement, si on compare la situation actuelle à celle d’il y a cinq ans. Mais cela reste une expansion modeste: on ne parle pas non plus d’un secteur en plein essor.
Est-il porteur pour Foyer?
«Trop tôt pour le dire. Pour parler d’un secteur porteur, il faut regarder sa capacité à générer des bénéfices sur un certain nombre d’années. L’assurance cyber est un marché assez jeune, elle n’a qu’une vingtaine d’années. Notre produit a moins de dix ans. Quand le secteur de l’assurance a commencé à couvrir le risque cyber, ces produits étaient très bon marché et personne ne les achetait. Petit à petit, des secteurs sensibles ont été touchés par des cyberattaques ou sensibilisés à ce risque, donc la demande a grimpé.
La base de données mondiale est assez faible et très fragmentée.
Pourquoi le recul n’est pas suffisant aujourd’hui?
«La collecte de données est assez récente. Le nombre de sociétés assurées demeure assez marginal par rapport à la totalité. Et l’historique de sinistralité reste une boîte noire, qui commence certes à s’ouvrir – on connaît quelque cas – mais pour chaque cas déclaré, il y en a probablement huit ou neuf autres qui ne le sont pas. La base de données mondiale est donc assez faible et très fragmentée.
Trop tôt pour parler d’un secteur porteur, mais est-il profitable?
«Le cyber ne nous rendra pas riches. Aujourd’hui, nous gagnons de l’argent avec notre produit, mais il suffirait d’un gros sinistre pour ne plus en gagner! C’est extrêmement volatil. À l’échelle globale, on parle d’une sinistralité de deux milliards d’euros: pour couvrir deux milliards de dommages en primes d’assurance, même au niveau mondial, il faut y aller… Donc je pense que globalement, les assureurs ne gagnent pas d’argent aujourd’hui avec le cyber.
Combien de polices de cyberassurance avez-vous conclues à ce jour?
«Ce n’est pas une donnée que nous voulons partager, et de toute façon, elle n’est pas très parlante puisque nous venons de démarrer. Nous poursuivons nos efforts commerciaux avec nos inspecteurs vis-à-vis de nos agents pour les sensibiliser au risque cyber. Notre engagement en dit davantage que le nombre de contrats que nous avons. Je compare très souvent avec une autre garantie un peu mal-aimée: la perte d’exploitation. Aujourd’hui, j’ai l’impression que moins de 20% des sociétés, commerciales et industrielles, sont assurées contre la perte d’exploitation. Et cela existe depuis toujours! Quand on voit combien de temps cela nous a pris pour arriver à ces 20%, je pense que le cyber prendra probablement moins longtemps. À condition que notre travail de sensibilisation porte ses fruits.
Qui sont vos clients types?
«Nos clients cibles sont les entreprises luxembourgeoises et leurs intérêts à l’étranger. Cela concerne toutes sortes de PME et de PMI. Pour ce segment-là, nous avons un produit propre Foyer. Pour les grandes sociétés, nous travaillons avec des partenaires, notamment des réassureurs.
Dans le produit Foyer, nous avons choisi de ne pas couvrir la rançon.
Comment classez-vous vos clients?
«Pour les PME/PMI, nous avons un produit standardisé, avec des critères d’acceptation prédéfinis. Comme dans toute approche de souscription ‘’commodité’’, il y a une préanalyse de notre part. Nous avons catalogué les entreprises en fonction de leurs risques – une fiduciaire a davantage de données confidentielles qu’un fabricant de vis, donc le risque est différent – et du type d’activité.
D’une manière générale, quel type d’indemnisation proposez-vous?
«Le volet assistance, l’assistance immédiate (technique, juridique…) quand on est attaqué, est l’un des plus importants. Nous couvrons aussi les dommages matériels: déblocage du système, récupération, etc. Enfin, le troisième volet concerne la responsabilité civile qu’une cyberattaque peut engager: vous êtes responsable des données des clients qui se retrouvent dans la sphère publique.
Qu’en est-il des rançons? Les payez-vous?
«Je sais que des assureurs le font. Pour notre part, dans le produit Foyer, nous avons choisi de ne pas couvrir la rançon. Pour la simple et bonne raison que le paiement de la rançon ne règle pas le problème du client dans la grande majorité des cas. Nous préférons nous concentrer sur la solution que de payer un montant sans avoir la certitude que la situation ne se débloque. Ce serait aussi faire une mauvaise publicité aux cybercriminels.
Êtes-vous ouverts à la discussion au cas par cas?
«Ce n’est pas prévu. Nous sommes clairs vis-à-vis de nos clients en leur disant: nous allons vous assister, éventuellement négocier avec les criminels, mais nous ne paierons pas de rançon. Le choix que nous avons fait me semble judicieux.
Comment Foyer prévoit-il d’innover et de se positionner dans un marché où les cyber-risques évoluent rapidement?
«Notre première volonté est d’accompagner nos clients en offrant des produits et en augmentant la sensibilisation. Le risque cyber existe aussi au Luxembourg. Il faut que les gens soient conscients que les risques opérationnels et financiers sont X fois plus importants que le coût de l’assurance. Un jour d’arrêt d’une société coûte des dizaines de milliers d’euros, sans parler des amendes et des dommages réputationnels. Notre deuxième tâche est de poursuivre nos efforts sur la collecte des données pour pouvoir faire évoluer le produit Foyer en fonction des besoins et des risques. Pour cela, nous comptons beaucoup sur l’intelligence artificielle. Il ne faut jamais oublier qu’on a toujours un temps de retard par rapport aux cybercriminels. En ce sens, l’IA est une aubaine puisqu’elle peut prévoir des choses qu’on n’a pas encore en tête.
Si on ne fait rien, les cyberattaques risquent de ne plus être assurables.
Fin 2022, le CEO de Zurich, Mario Greco, déclarait au Financial Times que les cyberattaques deviennent «non assurables». Est-ce aussi votre avis?
«Le rôle des grands patrons, c’est parfois aussi de tirer la sonnette d’alarme. Aujourd’hui, à mes yeux, les cyberattaques sont encore assurables, mais si on ne fait rien, si on ne parvient pas à une protection et à une sensibilisation accrue, elles risquent de ne plus l’être de par l’interconnectivité généralisée. Si votre smartphone est hacké, le virus peut s’introduire dans votre banque, votre mutuelle santé, MyGuichet.lu, etc.
Le cadre légal doit-il évoluer pour intégrer cette question de la cyberassurance?
«Le cadre légal, c’est bien, mais en pratique, je ne vois pas quelles solutions on pourrait en attendre. Je suis très prudent quant à la réglementation. On est déjà tellement réglementé… Et n’oublions pas que les victimes ont davantage de droits qu’auparavant dans le cadre du RGPD.
On attend pour fin 2024 deux nouveaux instruments de financement de projets de cybersécurité, l’un luxembourgeois (SME Packages Cyber Security), l’autre européen (directive SRI2). En augmentant le niveau de cybersécurité, ces instruments-là vont-ils permettre à davantage d’entreprises d’avoir accès à une assurance cyber?
«Ce genre d’initiative publique est très positive, surtout pour les PME/PMI qui n’ont pas nécessairement les moyens des grandes sociétés. Et c’est indispensable que les entreprises se protègent beaucoup plus qu’actuellement. À l’échelle européenne, toute initiative de ce type me semble plus pertinente qu’une régulation différente dans chaque pays. Mais cela n’aura pas non plus pour résultat que demain, 99% des entreprises auront une assurance cyber. Cela prendra beaucoup de temps.»