Comment les assureurs peuvent-ils faire face aux cyberrisques ?

Le risque cybernétique augmente parallèlement à la transformation numérique depuis plus de 20 ans, et Covid-19 a accéléré la tendance en raison de la dépendance croissante à la technologie pendant la pandémie. En conséquence, les attaques par ransomware et autres cyber-événements ont connu un pic spectaculaire depuis 2020. Cependant, la sécurité était déjà un défi majeur bien avant Covid-19, et les assureurs ont essayé de mieux comprendre et gérer le cyber-risque.

"La cyberassurance doit suivre l'évolution rapide des scénarios de menace et la sophistication des cybercriminels", explique Mathias Wethmar. "Ransomware, interruption d'activité, accumulation et risque systémique : ce ne sont là que quelques-uns des dangers auxquels sont confrontés les cyberassureurs. Et comme il s'agit d'un marché encore immature, bien qu'en évolution rapide, l'incertitude est un danger supplémentaire, qui conduit à des malentendus et à une exposition par le biais de ce qu'on appelle le cyber silencieux. C'est le cas lorsqu'il y a exposition au risque parce qu'une police n'inclut pas ou n'exclut pas explicitement un cyber-risque."

Pour garder une longueur d'avance, Wethmar affirme que les assureurs doivent analyser et gérer pleinement les risques avant et après les cyber-événements, et développer des contrôles de modélisation et de souscription plus rigoureux. Cependant, du point de vue de la souscription, il n'existe pas de police standard pour couvrir les cyberrisques.

"Les menaces varient considérablement d'un secteur, d'une industrie et d'une zone géographique à l'autre, explique Wethmar, et elles évoluent en permanence. Les assureurs doivent adopter une approche holistique et développer des mesures préventives de cybersécurité, et transférer le risque résiduel par le biais de produits d'assurance sur mesure."

La gestion des risques par la collaboration

Comme la cyberassurance a un historique relativement court et qu'elle s'attaque à un marché volatile et à des risques dynamiques, les assureurs primaires s'appuient largement sur la réassurance pour combler le manque de protection. Tout assureur dont la gestion des risques est déficiente peut subir des sinistres évitables et un risque d'accumulation. Cela souligne la nécessité de collaborer avec les insurtechs et les partenaires spécialisés dans la gestion des risques qui peuvent aider à maîtriser les risques.

" Chez Hannover Re, nous nous concentrons sur l'ensemble de la chaîne des risques ", déclare Wethmar. "Pour aider nos clients, nous collaborons avec des partenaires et nous concentrons sur tout, de la prévention à l'assistance en cas de crise. Par exemple, l'évaluation de la vulnérabilité numérique par l'analyse et le scoring des points de terminaison, et la mise en œuvre de plans d'action avec l'aide de notre tableau de bord des cyberrisques."

Les courtiers relèvent le défi

Pour les courtiers, le cybermarché exige la même approche holistique, les contrôles des risques et la cyberconscience renforçant le transfert traditionnel des risques et mettant l'accent sur la prévention. En tant que spécialiste de la cybernétique, Elmore Insurance Brokers développe des stratégies, des outils et des ressources pour gérer les risques et aider les cyberassureurs à contrer l'argument selon lequel l'assurance incite à la cybercriminalité parce qu'elle rend plus probable le paiement de rançons.

"Les courtiers doivent aider leurs clients à renforcer leurs cyberdéfenses tout en fournissant le mécanisme habituel de transfert des risques financiers", déclare Simon Gilbert, directeur général d'Elmore. "La cyberassurance doit s'appuyer sur les meilleures connaissances et informations disponibles, ce qui nécessite des partenariats avec les fournisseurs de données et d'analyses, les fournisseurs de services cloud et les fournisseurs de renseignements sur les menaces. Les courtiers doivent jouer un rôle actif dans l'intégration des contrôles de cybersécurité, tels que l'authentification multifactorielle, le cryptage des fichiers et les outils de détection et de réponse aux points de terminaison. Collectivement, ces mesures atténuent le cyberrisque et réduisent la probabilité de sinistres. En retour, les assurés peuvent passer de l'état d'inassurabilité à celui de tolérance au risque de l'assureur."

Ce rôle de coordination aide le secteur de l'assurance à surveiller les cybermenaces et à élaborer des politiques en réponse aux nouveaux risques et aux nouvelles conditions du marché. Selon M. Gilbert, c'est aux courtiers qu'il incombe d'assurer la tranquillité d'esprit des assurés en appliquant les bons outils et examens des risques pour suivre l'évolution constante du paysage cybernétique.

"Pour renforcer la résilience et contenir le cyber-risque, il faut à la fois une approche "outside-in" et "inside-out" qui couvre tous les principaux vecteurs d'attaque", explique Gilbert. "Outre l'analyse des éléments externes tels que les ports ouverts, vous devez rester à l'affût des menaces et des vulnérabilités des données internes, qu'elles soient causées par des erreurs ou des actions malveillantes. En matière de gestion des risques, nous allons assister à une coopération bien plus importante entre les courtiers, les transporteurs et les spécialistes tiers."

La nécessité de pare-feu humains

"En tant que courtiers, nous devons faire plus qu'offrir une couverture", dit Gilbert. "Nous devons aider les clients dans le contexte global de la cybersécurité. Cela inclut le renforcement de la sécurité du réseau, l'élaboration de plans de réponse aux brèches et la formation des employés aux meilleures pratiques dans le cadre d'une approche globale dirigée par le courtier."

M. Gilbert souligne qu'il ne s'agit pas seulement de technologie. Il s'agit également de comportement et de sensibilisation, car l'homme est souvent le maillon le plus faible des cyberdéfenses. "Les entreprises doivent mettre en place des pare-feux humains et créer une culture de la sécurité afin de minimiser les erreurs humaines et la vulnérabilité. C'est ce que nous faisons chez Elmore en nous associant à une société de sécurité de l'information qui sensibilise les gens par la gamification, entre autres."

Une cyberassurance efficace exige une approche collégiale. Les courtiers, les transporteurs, les spécialistes des données et les experts en sécurité informatique doivent travailler en étroite collaboration pour suivre le rythme des cybercriminels, et les courtiers doivent jouer un rôle central pour garantir que la protection soit synonyme de prévention et de transfert de risques.