Membre du comité de direction du courtier Bessé, Jean-Philippe Pagès établit le rapport entre pandémie et montée en puissance des enjeux de cybersécurité. Au coeur des renouvellements, il fait aussi le point sur la réponse du marché face à une demande accrue de souscription.

Avez-vous des éléments chiffrés sur le marché français de la couverture cyber ?

L’intérêt des entreprises pour l’assurance cyber reste très soutenu, en particulier sur le segment des ETI et des PME. Au niveau des grands groupes, l’achat de couvertures a déjà été initié depuis plusieurs années. La plupart d’entre eux recherchent maintenant à augmenter leur niveau de garantie, ce qui se traduit par la souscription de lignes excess significatives. Ainsi, à fin 2019, et selon les données de la FFA, l’encaissement global du marché français en cyber (via des couvertures dédiées) est annoncé à 105 M€, soit une hausse de 21 % par rapport à 2018. Les perspectives de croissance demeurent fortes face à un risque en développement mais aussi complexe à appréhender.

Avec le développement des portefeuilles, les assureurs enregistrent en effet leurs premiers sinistres d’intensité, dont certains plus que conséquents. Les appétits de souscription s’affinent, de même que la sélection des dossiers. Sur ce point, les exigences sur le niveau de maturité attendu des entreprises en matière de cybersécurité se renforcent. La dynamique de marché est déjà fortement marquée par la contraction de la capacité proposée par tous les grands acteurs. Cela se traduit par des capacités effectives par assureur ramenées en moyenne à 15 M€ par dossier, contre 25 M€ auparavant, et laisse entrevoir d’ores et déjà des analyses plus poussées sur l’appréciation des profils de risque et un durcissement des conditions tarifaires pour les risques les plus exposés.

Pensez-vous que la pandémie de Covid-19 puisse augmenter la souscription de ce type de couvertures ?

La période de confinement a très clairement conduit nombre d’entreprises à s’adapter, notamment via le recours massif au télétravail. Les impacts en termes d’organisation ont fragilisé les dispositifs en place en matière de sécurité informatique. La période aura donc créé de fortes opportunités pour la cybercriminalité et facilité l’exploitation de multiples vulnérabilités. Avec la crise de la Covid-19, les actes de phishing afin de récupérer identifiants et mots de passe ont très fortement augmenté tout comme les tentatives de fraudes. La recrudescence des attaques cyber post premier confinement en est la conséquence.

Avec la crise de la Covid-19, la sensibilisation des entreprises face à la menace de compromission de leur système d’information aura ainsi été forte. A ce titre, Bessé, avec l’appui d’un partenaire spécialisé, a souhaité accompagner ses clients et mis en place des sessions de formation et de sensibilisation aux risques cyber en ligne pour ses salariés.

En synthèse, le contexte Covid-19 renforce à la fois la prise de conscience des enjeux liés à la cybersécurité et la recherche de solutions pour se protéger de ce risque. On peut donc s’attendre à une accélération des souscriptions en cyber.

Les clauses d’exclusion au sein des polices cyber diffèrent d'un contrat à l'autre, n'est-ce pas une difficulté pour les distribuer largement ?

Il est particulièrement juste de souligner que les clauses d’exclusion au sein des polices cyber diffèrent selon les contrats. Le marché de l’assurance cyber n’est pas encore à maturité et nous sommes donc loin d’une offre contractuelle normée comme c’est le cas en assurance incendie ou responsabilité civile générale par exemple. Les contraintes de réassurance sont par contre plus uniformes et imposent via les traités de réassurance des exclusions types. C’est le cas notamment pour ce qui concerne les carences des fournisseurs d’utilités : électricité, communication dont Internet. Le risque étant systémique, tous les assureurs excluent les conséquences d’un sinistre cyber qui impacteraient les grands fournisseurs d’utilités. Parmi les exclusions types, nous trouvons également souvent l’exclusion des dommages matériels, des dommages corporels ou de tout ce qui concerne la propriété intellectuelle.

Y-a-t-il selon vous un problème de lisibilité des contrats cyber ?

La lisibilité des contrats cyber suscite quelques critiques. Manque de précision, complexité de certaines définitions, interprétation de certaines exclusions justifient parfois cette appréciation. Il est probable qu’à l’épreuve du feu, certaines discussions aient pu avoir lieu sur tel ou tel dossier quant à l’interprétation des garanties et la prise en charge des postes de préjudices présentés. Ces incertitudes contractuelles doivent absolument être évitées. Sur une matière aussi jeune en assurance, ce sont la compréhension des risques et les retours d’expériences sinistres qui participeront à renforcer la qualité contractuelle et rédactionnelle. C’est l’élément clef de la confiance dans le transfert du risque à l’assureur qui ne se vérifie qu’au jour du sinistre. Les équipes de Bessé y veillent scrupuleusement dans l’intérêt de leurs clients.

La période de pandémie pourrait-elle être interprétée comme une aggravation du risque, susceptible d’ouvrir la voie à une déchéance de garanties par l’assureur ?

La question est en effet loin d’être anodine. Les alertes lancées sur l’accroissement des actes de malveillance du fait du télétravail en donnent une bonne illustration. Les dispositions reprises par certaines polices cyber sur l’aggravation du risque méritent une lecture attentive sur ce point.

Quoiqu’il en soit et pendant la période de confinement, la communication des assureurs aura été riche de messages d’alerte et de recommandations sur les bonnes pratiques à adopter. Et les services d’assistance, comme tout service d’urgence et de gestion de crise, ont adapté leurs modèles d’intervention en application des règles sanitaires.

Plus globalement, sur les services de prévention et d’assistance, l’offre a vocation à s’enrichir car beaucoup d’entreprises attendent aussi du conseil. Sans se substituer aux activités des prestataires spécialisés en cybersécurité, l’assurance aura certainement un rôle à tenir dans ce domaine. C’est une composante que Bessé prend en compte vis-à-vis de ses clients.