Le concept d’assurance remonte à l’Antiquité, lorsque les marchands voulaient se prémunir contre les risques liés à l’expédition de marchandises sur des eaux traîtresses. Depuis lors, chaque fois qu’un nouveau risque est apparu, un nouveau marché de l’assurance a suivi. Aujourd’hui, pratiquement tout peut être assuré, qu’il s’agisse d’une voiture, d’une maison ou des jambes d’un footballeur. En raison de la propension des cyberattaques – qui coûtent chaque année des milliards à l’économie mondiale – la cyberassurance est apparue comme la solution la plus récente dans cette succession.
Initialement adoptée par les institutions financières, les détaillants et les organismes de santé, elle concerne aujourd’hui un nombre croissant de secteurs, y compris les fabricants et les services publics. L’agence internationale de notation Fitch Ratings estime que les primes annuelles de cyberassurance se situent actuellement entre 8 et 10 milliards de dollars et qu’elles devraient atteindre 22,5 milliards de dollars d’ici à 2025.
>Voir aussi : Quels sont les secteurs qui investissent le plus et le moins dans la cybersécurité ?
L’essor de la cyberassurance
La cyber-assurance est utilisée pour réduire l’impact des cyber-attaques et des violations de données. Elle a vu le jour parce que les polices d’assurance traditionnelles tendaient à ne pas couvrir ce type de risques.
En règle générale, les polices d’assurance cyber offrent une couverture de première partie contre les pertes telles que la destruction de données, les attaques par déni de service, le vol, le piratage et une couverture de responsabilité garantissant une indemnisation pour les dommages causés par des erreurs telles que l’absence de protection des données.
D’autres polices comprennent des offres telles que : audits de sécurité, relations publiques après un incident et frais d’enquête.
>Voir aussi : La cyber-assurance peut remodeler la façon dont les organisations …
Selon les chiffres de NetDiligence, les ransomwares sont le type de cyberattaque le plus couramment réclamé. L’étude a révélé que plus d’un quart (29 %) des 7 000 demandes d’indemnisation concernaient des ransomwares.
Graeme Newman, directeur général de CFC Underwriting, a déclaré à la BBC : « Les sinistres sur les polices CFC ont augmenté de 78 % par rapport à 2015. Environ 90 % de nos demandes d’indemnisation en volume proviennent d’entreprises dont le chiffre d’affaires est inférieur à 50 millions de livres sterling », a-t-il déclaré, ajoutant qu’un nombre « disproportionné » de demandes d’indemnisation était présenté par des entreprises britanniques. »
Il a expliqué : « Cela s’explique en grande partie par le fait que, dans l’ensemble, les entreprises britanniques ont un niveau de maturité en matière de sécurité inférieur à celui de leurs homologues américaines. »
Les débuts
À l’heure actuelle, le secteur de la cyberassurance est en pleine adolescence : il évolue rapidement, mais il est aussi maladroit et n’a pas encore atteint son plein potentiel. Si de nombreuses polices sont actuellement disponibles, beaucoup d’entre elles offrent une couverture bien inférieure à ce que les acheteurs souhaiteraient. De plus, une étude menée par Blackberry montre que seulement 19 % des organisations ont une couverture pour les cyber-événements supérieurs à 600 000 dollars.
L’absence de polices standard est un problème courant sur le marché actuel de l’assurance cybernétique. Les différences de terminologie entre les fournisseurs entraînent une certaine confusion dans la compréhension des protections qu’une police peut offrir.
Un autre problème auquel sont confrontés les assureurs et les organisations aujourd’hui est le manque de visibilité dans la compréhension de la cybersanté, ce qui rend difficile la quantification et la compréhension des primes. En outre, selon un rapport de l’assureur Hiscox, plus de la moitié (51 %) des entreprises mondiales sont des « cybernovices » en ce qui concerne la qualité de leur stratégie de sécurité.
>Voir aussi : L’ère des cyberattaques : Le rôle de l’IA dans la cyber-assurance
Courtier en cyberassurance
En raison de cette complexité, de nombreuses entreprises se tournent vers des courtiers en cyberassurance pour obtenir de l’aide. Un courtier en cyber-assurance agit en tant qu’intermédiaire entre le client et l’assureur. Son travail consiste à obtenir les meilleures conditions pour son client. Le courtier peut également déterminer l’option de couverture la mieux adaptée à un secteur et à une verticale spécifiques.
Selon une étude du cabinet d’avocats américain Fox Rothschild, plus de la moitié des personnes interrogées ont travaillé avec un courtier pour obtenir leur police d’assurance. Les conseillers ont apporté leur aide de différentes manières, notamment en s’assurant que les erreurs des employés ne sont pas exclues de la couverture, que les sous-limites couvrent les amendes potentielles et que les entreprises savent quels coûts liés à l’interruption d’activité seront couverts.
Mark G. McCreary, associé du cabinet, a déclaré : « Un dirigeant peut penser qu’il est en sécurité et qu’il a souscrit une police d’assurance cybernétique. Mais s’il n’a pas la bonne couverture, il risque de se retrouver dans une situation délicate en cas de violation ou d’autre incident.
>Voir aussi : Le guide du CTO : Prédictions technologiques marquantes en matière de cybersécurité
« En travaillant avec un courtier ou un conseiller juridique qui peut donner des conseils sur la couverture d’assurance, les entreprises auront un véritable sentiment de sécurité parce qu’elles auront mis en place une politique plus efficace et adaptée à leurs besoins. »
Il ajoute : « En travaillant avec un courtier ou un conseiller juridique, vous vous assurez de disposer d’une police beaucoup plus efficace, qui offrira une couverture plus large et mieux adaptée aux besoins de votre entreprise ».
La procédure de demande d’indemnisation
En plus d’être en mesure d’aider à s’y retrouver dans les nuances et la terminologie difficile, les courtiers contribuent également à la procédure de demande d’indemnisation.
Selon l’étude de Fox Rothschild, seules 21 % des entreprises couvertes ont déposé une demande d’indemnisation au cours des cinq dernières années. S’adressant à Insurance Business UK, M. McCreary a déclaré : « Si je suis courtier et que j’ai un client qui fait une réclamation au titre d’une police, il se peut que je ne comprenne pas vraiment comment on en arrive à ces points, et quelles sont les étapes et les coûts, jusqu’à ce que j’aie parcouru le processus plusieurs fois. Tant que ce n’est pas fait, même le courtier ne comprend pas comment le système fonctionne. Il faut vraiment comprendre en quoi les polices sont différentes et en quoi les demandes d’indemnisation sont différentes.
Les fournisseurs d’assurance cybernétique ont eux-mêmes la responsabilité d’aider leurs clients à comprendre le processus d’indemnisation. À mesure que le marché de la cyberassurance se développe, le processus de règlement des sinistres cybernétiques peut faire le succès ou l’échec d’un assureur. Cependant, les entreprises peuvent être mal classées par les courtiers même si elles ont investi des ressources considérables dans l’élaboration d’une proposition d’assurance cybernétique. En effet, les assureurs les moins bien classés peuvent être critiqués à la fois pour le processus d’indemnisation des clients auquel les courtiers ont été confrontés lorsqu’ils ont soutenu une demande d’indemnisation pour un client et pour leur approche de la gestion des risques.
>Voir aussi : Fico met à disposition des entreprises du monde entier un service gratuit d’évaluation de la cybersécurité
D’autre part, les assureurs les mieux classés utilisent un processus de réclamation dans lequel les assurés sont dirigés vers des experts en réponse aux incidents qui sont à leur disposition pour les guider tout au long du processus.
Selon Tom Spier, ancien directeur du développement commercial international chez Cyberscout, aujourd’hui directeur commercial de la plateforme de réassurance Supercede : « Cela permet une meilleure expérience client car les assurés ont un point de contact unique pour tous les aspects d’un sinistre, les intérêts des experts en gestion de projet sont directement alignés sur ceux des assurés, et les assurés sont mis en relation avec un expert qui a une connaissance approfondie des cyber-événements. »
Croissance du marché de l’assurance cybernétique
Des études suggèrent que la période actuelle de croissance rentable du marché de la cyberassurance apporte aux acheteurs les avantages de la concurrence et de la stabilité. Selon Statista, le marché mondial de la cyberassurance doublera d’ici 2025, pour atteindre une taille totale d’environ 22,1 milliards de dollars.
Les cybermenaces continuant à se développer, le marché de la cyberassurance devrait devenir plus dynamique. Cette agilité, selon la société de modélisation des risques RMS, découlera de l’augmentation inévitable de la concurrence. Alors que les assureurs établis dominent le marché des primes d’assurance cybernétique, de nouvelles entreprises se sont lancées dans ce domaine. Selon RMS, cette concurrence accrue aura un impact sur les tarifs et, en outre, le marché a été témoin d’un assouplissement progressif des conditions de couverture.
Il est probable que l’on assiste à une augmentation du nombre d’options de couverture spécifiques à l’industrie. Pour l’instant, on a souvent l’impression que la cyberassurance est un produit à taille unique. Il est à espérer que les entreprises seront en mesure de s’adapter davantage à la situation de chacune d’entre elles.
>Voir aussi : La compréhension de la dette technique pourrait-elle être la clé de l’amélioration …
Réponse à la prévention
La cyberassurance, comme la plupart des autres formes d’assurance, a eu tendance à être classée comme un produit de réponse instantanée. Initialement, la couverture pouvait inclure une forme de services médico-légaux, mais à mesure que les services préventifs évoluent sur le marché de la cybersécurité, il est probable que les assureurs suivent le mouvement.
Le marché commence déjà à voir davantage de services préventifs inclus dans leur couverture, lorsque les entreprises sont en mesure de fournir des services de conseil aux clients lors de l’évaluation de leur risque cybernétique.
Pour ce qui est de façonner l’avenir de la couverture d’assurance cybernétique, les dirigeants peuvent voter avec leur portefeuille. Lorsqu’ils envisagent de souscrire une police d’assurance cybernétique, les chefs d’entreprise et les courtiers doivent faire pression pour obtenir des formules qui incluent des services de prévention avant l’événement, tels que la surveillance et l’atténuation proactives des menaces.
En rapport :
L’importance de combler les lacunes de l’assurance en matière de cyber-réponse – Alors que la Banque d’Angleterre a récemment mis en garde contre les lacunes du secteur de l’assurance en matière de cyber-réponse, nous examinons les risques qui doivent être pris en compte.
Les meilleurs assureurs cybernétiques du Royaume-Uni – La cyberassurance est un marché émergent qui commence à se développer au Royaume-Uni. Toutefois, il est important de noter qu’avant de commencer à choisir parmi les fournisseurs d’assurance cybernétique, vous devez lire attentivement les polices proposées et envisager de vous adresser à un courtier indépendant pour obtenir des conseils.