Comment construire la cyber résilience en Europe ?

En juin dernier, plusieurs acteurs issus des milieux de l’assurance, de la réassurance, du courtage d’assurance et de la gestion des risques, se sont réunis autour d’une table pour discuter des moyens d’améliorer la cyber-résilience en Europe. Cet article résume les conclusions tirées par ces derniers. L’intégralité du contenu du rapport est téléchargeable sur leur site.

Les parties prenantes du dialogue soulignent la nécessité fondamentale de combler toute lacune potentielle en matière de couverture cybernétique afin d’atténuer les effets des cyberattaques et leurs conséquences financières sur l’économie et la société européennes dans leur ensemble. Ceci rendrait le marché de la cyber-assurance attractif pour les investisseurs en capital prêts à accepter ces types de risques. Ils soulignent également la nécessité d’accompagner les entreprises en fonction de leur taille de leur activité, tout en apportant des solutions particulières pour les PME.

Dans le but d’atteindre une cyber-résilience au niveau européen, il faudrait :

En effet, la gestion des cyber-risques est indéniablement liée à l’assurabilité d’un cyber-sinistre. Il est dans l’intérêt des assureurs :

• de s’assurer que les entreprises ont investi dans des mesures proactives de gestion des risques et de cybersécurité afin de réduire la probabilité de survenance et l’impact d’un sinistre ;
• d’envisager continuellement des moyens d’améliorer l’identification et la prévention des cyber-risques à travers l’innovation et les investissements dans la technologie, à destination surtout des PME qui ne disposent pas des mêmes ressources internes de gestion des risques que les grandes entreprises ;
• et de définir des protocoles de gestion de crise efficaces, accompagnés de tests rigoureux pour garantir une reprise de l’activité sécurisée.

L’investissement dans la prévention des risques permet non seulement de renforcer la résilience des entreprises (de toute taille et de tout secteur d’activité) face aux attaques, mais aussi de rendre le risque plus assurable pour les assureurs, in fine des primes d’assurance plus abordables pour les entreprises. Néanmoins les cyber-attaques sont de plus en plus sophistiquées et difficiles à prévenir. Ainsi, l’investissement dans la prévention des risques est essentiel pour réduire les risques et les conséquences d’une attaque, même si cela ne garantit pas une protection totale.

Pour refléter la nature changeante du risque et l’évolution de la menace sous-jacente, les (ré)assureurs doivent faire évoluer leur couverture d’assurance en fonction de la dépendance au numérique de l’activité d’une entreprise. Pour ce faire, ils doivent bien appréhender l’activité, les mesures de cybersécurité de l’entreprise et ses exigences en matière de souscription des risques. Cela passe par une bonne qualité du dialogue entre l’assuré et l’assureur, notamment via un questionnaire de souscription riche et compréhensible par les assurés.

Dans le même temps, les assureurs doivent homogénéiser et continuellement adapter leurs questionnaires de souscription afin de suivre l’évolution dynamique des menaces. Cela leur permettra d’obtenir des données plus comparables et plus significatives sur les cyber-risques.

Deux axes majeurs sont abordés :

• La clarté et la transparence : les assureurs doivent indiquer explicitement ce qui est couvert et ce qui ne l’est pas, afin de fournir aux professionnels du risque et aux assurés une compréhension claire et transparente de leurs couvertures. Cela aidera à garantir que les entreprises sont correctement protégées contre les cyber-risques auxquels elles sont confrontées.
• La résilience du marché : les assureurs doivent prévoir une « issue de secours » en cas de cyberguerre ou de risque systémique. Cela aidera à éviter un effondrement du marché cybernétique, qui pourrait se répercuter sur l’économie du pays en question, voire de l’Europe. Les assureurs peuvent travailler avec les gouvernements pour développer des solutions de résilience du marché, telles que des fonds de garantie ou des mécanismes de partage des risques.

Ces différentes mesures pourraient également contribuer à améliorer la quantification et la modélisation des risques.

Les assureurs doivent travailler ensemble pour partager la sinistralité cybernétique. Cela peut être fait par le biais de mécanismes de réassurance, de coassurance ou de pools d’assurance. Ces mécanismes permettent aux assureurs de mutualiser les risques et de réduire leur exposition financière.

La mutualisation de la sinistralité est importante pour plusieurs raisons. Elle permet aux assureurs de :

• Réduire les coûts des sinistres : en mutualisant les risques, les assureurs peuvent réduire les coûts des sinistres individuels.
• Améliorer la résilience du marché : le partage de la sinistralité peut aider à éviter un effondrement du marché en cas de cyberattaque majeure.
• Encourager les entreprises à investir dans la cybersécurité : en partageant les coûts des sinistres, les assureurs peuvent encourager les entreprises à investir dans des mesures de cybersécurité plus efficaces.

Le partage de la sinistralité peut être un moyen efficace de réduire le coût des primes d’assurance. Cependant, il est important de noter que ce mécanisme peut également entraîner une augmentation des primes pour certains assurés, en fonction de leur profil de risque.

En guise de conclusion, les parties prenantes estiment qu’un marché de l’assurance cybernétique plus durable ne sera possible qu’à travers la réalisation des étapes citées supra et grâce à une collaboration efficiente entre tous les acteurs du secteur d’assurance (gestionnaires de risques, intermédiaires, assureurs et réassureurs), et les autorités publiques.

Ce partenariat permettrait de définir un ensemble de normes appropriées et raisonnables pour les PME en fonction de leur taille et secteur d’activité. Il pourrait également contribuer à l’élaboration d’outils normalisés d’évaluation de la maturité de la cybersécurité pour les PME, comme celui développé par l’Agence de l’Union européenne pour la cybersécurité.

Ainsi, la collaboration entre tous les acteurs du secteur de l’assurance, ainsi qu’avec les autorités publiques et les décideurs politiques, est nécessaire pour résoudre ces problèmes et améliorer la cyber-résilience de l’économie européenne dans son ensemble.

Les assureurs ont un rôle important à jouer dans la cyber-résilience des entreprises. En adoptant les mesures présentées, ils peuvent aider les entreprises à identifier et à gérer les cyber-risques, à se couvrir contre les pertes et à renforcer la stabilité du marché de l’assurance.

Source : https://www.ferma.eu/app/uploads/2023/06/Cyber-Insurance-Dialogue-Report.pdf

En outre, une collaboration efficace entre tous les acteurs du secteur de l’assurance, ainsi qu’avec les autorités publiques et les décideurs politiques, est nécessaire pour résoudre les problèmes liés au marché de l’assurance cybernétique et améliorer la cyber-résilience de l’économie européenne dans son ensemble.

Les experts Addactis accompagnent les assureurs et les réassureurs dans l’appréhension du risque cyber afin de proposer des solutions adaptées à leurs problématiques.