Comment les assureurs peuvent-ils faire face aux cyberrisques ?

Le cyberrisque augmente parallèlement à la transformation numérique depuis plus de 20 ans, et Covid-19 a accéléré la tendance en raison de la dépendance croissante à l'égard de la technologie pendant la pandémie. En conséquence, les attaques par ransomware et autres cyberévénements ont connu un pic spectaculaire depuis 2020. Toutefois, la sécurité constituait déjà un défi majeur bien avant Covid-19, et les assureurs ont essayé de mieux comprendre et gérer le cyber-risque.

"L'assurance cybernétique doit s'adapter à l'évolution rapide des scénarios de menace et à la sophistication des cybercriminels", déclare Mathias Wethmar. "Ransomware, interruption d'activité, accumulation et risque systémique : ce ne sont là que quelques-uns des risques auxquels sont confrontés les cyberassureurs. Et comme il s'agit d'un marché encore immature, même s'il évolue rapidement, l'incertitude est un danger supplémentaire, qui conduit à des malentendus et à une exposition à ce que l'on appelle la cybernétique silencieuse. C'est le cas lorsqu'il y a exposition au risque parce qu'une police n'inclut pas ou n'exclut pas explicitement un risque cybernétique".

Pour garder une longueur d'avance, M. Wethmar estime que les assureurs doivent analyser et gérer pleinement les risques avant et après les cyber-événements, et développer des contrôles plus rigoureux en matière de modélisation et de souscription. Cependant, du point de vue de la souscription, il n'existe pas de police standard pour couvrir les cyber-risques.

"Les menaces varient considérablement d'un secteur à l'autre, d'une industrie à l'autre et d'une zone géographique à l'autre", déclare M. Wethmar, "et elles évoluent en permanence. Les assureurs doivent adopter une approche holistique et développer des mesures préventives de cybersécurité, et transférer le risque résiduel par le biais de produits d'assurance sur mesure."

La gestion des risques par la collaboration

Étant donné que la cyberassurance n'a qu'une histoire relativement courte et qu'elle concerne un marché volatile et des risques dynamiques, les assureurs primaires s'appuient fortement sur la réassurance pour combler les lacunes en matière de protection. Tout assureur dont la gestion des risques est déficiente peut être confronté à des sinistres évitables et à des risques d'accumulation. Cela souligne la nécessité de collaborer avec les insurtechs et les partenaires spécialisés dans la gestion des risques qui peuvent aider à contrôler les risques.

"Chez Hannover Re, nous nous concentrons sur l'ensemble de la chaîne de risque", déclare Wethmar. "Pour aider nos clients, nous collaborons avec des partenaires et nous nous concentrons sur tout, de la prévention à l'assistance en cas de crise. Par exemple, l'évaluation de la vulnérabilité numérique grâce à l'analyse et à l'évaluation des points finaux, et la mise en œuvre de plans d'action avec l'aide de notre tableau de bord des cyber-risques."

Les courtiers relèvent le défi

Pour les courtiers, le cybermarché exige la même approche holistique, avec des contrôles des risques et une sensibilisation aux cyberrisques qui renforcent le transfert traditionnel des risques et mettent l'accent sur la prévention. En tant que spécialiste du cyberespace, Elmore Insurance Brokers élabore des stratégies, des outils et des ressources pour gérer les risques et aider les cyberassureurs à contrer l'argument selon lequel l'assurance incite à la cybercriminalité parce qu'elle rend plus probable le paiement de rançons.

"Les courtiers doivent aider leurs clients à renforcer leurs cyberdéfenses et à fournir le mécanisme habituel de transfert des risques financiers", déclare Simon Gilbert, directeur général d'Elmore. "L'assurance cybernétique doit s'appuyer sur les meilleures informations et renseignements disponibles, ce qui nécessite des partenariats avec des fournisseurs de données et d'analyses, des fournisseurs de services en nuage et des fournisseurs de renseignements sur les menaces. Les courtiers doivent jouer un rôle actif dans l'intégration des contrôles de cybersécurité, tels que l'authentification multifactorielle, le cryptage des fichiers et les outils de détection et de réponse des points d'extrémité. Collectivement, ces mesures atténuent le risque cybernétique et réduisent la probabilité de sinistres. En retour, les assurés peuvent passer d'une situation où ils ne sont pas assurables à une situation où ils se situent dans les limites de l'appétit pour le risque de l'assureur".

Ce rôle de coordination aide le secteur de l'assurance à surveiller les cybermenaces et à adapter les polices aux nouveaux risques et aux nouvelles conditions du marché. Selon M. Gilbert, il incombe aux courtiers d'assurer la tranquillité d'esprit des assurés en utilisant les bons outils et en procédant à l'examen des risques pour suivre l'évolution constante du paysage cybernétique.

"Pour renforcer la résilience et limiter les cyberrisques, il faut adopter une approche à la fois externe et interne qui couvre tous les principaux vecteurs d'attaque", explique M. Gilbert. "Outre l'analyse des éléments externes tels que les ports ouverts, vous devez rester à l'affût des menaces et des vulnérabilités des données internes, qu'elles soient dues à des erreurs ou à des actions malveillantes. En matière de gestion des risques, nous allons assister à une coopération accrue entre les courtiers, les transporteurs et les spécialistes tiers."

La nécessité de pare-feu humains

"En tant que courtiers, nous ne devons pas nous contenter de proposer une couverture", déclare M. Gilbert. "Nous devons aider nos clients dans le contexte global de la cybersécurité. Cela inclut le renforcement de la sécurité des réseaux, l'élaboration de plans de réponse aux violations et la formation des employés aux meilleures pratiques dans le cadre d'une approche globale menée par le courtier."

M. Gilbert insiste sur le fait qu'il ne s'agit pas seulement de technologie. Il s'agit également d'une question de comportement et de sensibilisation, car les humains sont souvent le maillon faible des cyberdéfenses. "Les entreprises doivent développer des pare-feux humains", explique M. Gilbert, "et créer des cultures soucieuses de la sécurité afin de minimiser les erreurs humaines et la vulnérabilité. Chez Elmore, nous le faisons en nous associant à une société de sécurité de l'information qui sensibilise les gens à l'aide de jeux, entre autres.

Une cyberassurance efficace exige une approche collégiale. Les courtiers, les transporteurs, les spécialistes des données et les experts en sécurité informatique doivent travailler en étroite collaboration pour ne pas se laisser distancer par les cybercriminels, et les courtiers doivent jouer un rôle central pour veiller à ce que la protection soit synonyme de prévention et de transfert de risques.