Alors que le marché considérait l’entrée en vigueur du règlement européen sur la protection des données personnelles comme un vecteur efficace de sensibilisation des entreprises, c’est finalement la succession de sinistres, WannaCry, Petya et NotPetya, qui a fait basculer la prise de conscience du risque cyber, soulignant que la vulnérabilité des entreprises était beaucoup plus concentrée sur des pertes de disponibilité et d’intégrité que sur des pertes de confidentialité.

« L’assurance cyber s’est construite autour de la réglementation américaine sur la protection des données, dans un monde plus juridique et normé dans le partage du risque », rappelle Brigitte Bouquot, présidente de l’Amrae. Le sinistre Target – ayant affecté 40 millions de données bancaires et 70 millions de données personnelles en 2014, soit un tiers de la population américaine – était alors le principal exemple de sensibilisation. « L’impératif était d’éviter les class actions et l’assurance se positionnait sur le risque de fuites pour des grands opérateurs en B to C, poursuit Brigitte Bouquot. Les grands groupes industriels opérant en B to B ne se sont donc pas sentis concernés. »

Mais l’année 2017 a radicalement changé la donne. « Aujourd’hui, la prise de conscience du risque est globale, elle va des infrastructures de production à la logistique, à l’entreprise étendue, en passant par les systèmes digitaux vendus aux clients », précise la présidente de l’Amrae. Au mois de mai, la première attaque...