IDEES: Jean Laurent Santoni / Clever Courtage

Retour sur l’atelier « Assurance Cyber – Etat du marché (A9) » FIC 2014

FIC2014

 

 

 

Retour sur l’atelier « Assurance Cyber – Etat du marché (A9) » dans le cadre du FIC 2014 le 21 janvier 

Conduit par Jean Philippe BICHARD, Rédacteur en chef de Cyber Risques News (http://www.cyberisques.com/ ) cet Atelier réunissait également Nadia COTE, Directrice Générale de l’assureur ACE Group, Jérôme GOSSE, Head of PI/D&O de l’assureur Zurich et Sébastien HEON, Directeur des relations institutionnelles de Cassidian.

Jean Philippe BICHARD a proposé trois pistes de réflexion où chacun des intervenants s’est exprimé en fonction de ses sensibilités.

 

 Piste 1: Assurance Cyber: de quel marché parle-t-on ? (estimation et périmètres de marchés: nationaux, européens internationaux ; spécificités : Acteurs, origines des acteurs… ; segmentation du marché et cibles: OIV, Banques, eCommerce, Industries (Scada)…).

Jean Laurent SANTONI a exprimé sa vision du marché, mais non pas du point de vue des offreurs, mais de celui de la demande à laquelle il est confronté chaque jour, demande en matière d’assurance de dommages, de responsabilité professionnelle et de responsabilité des mandataires sociaux. Il a distingué trois catégories : les sceptiques, les légalistes et les proactifs.

  • Les sceptiques forment la majorité. Après avoir entendu que les contrats de dommages en Tous Risques Sauf couvraient tous les risques informatiques matériels et immatériels, et que les contrats de responsabilité civile couvraient toutes les réclamations émanant de tiers ou de clients, ils ont un peu de mal à discerner si les cyber risques sont si spécifiques que cela et méritent de souscrire de nouveaux contrats complexes et couteux.
  • Les légalistes sont attentistes. En l’absence de dispositions législatives françaises et européennes imposant une obligation de souscrire une assurance pour se protéger des cyber risques ou indemniser les victimes, ils attendent en particulier la mise en vigueur du projet de Règlement Européen prévu si tout va bien en 2016. En attendant ils regardent ceux qui sont soumis à des régimes particuliers (Opérateurs dans le cadre du Paquet Télécom, hébergeurs de santé ASIP, opérateurs de jeux ARJEL, détenteurs de données de cartes bancaires PCI DSS, Opérateur d’Importance Vitale concerné par la Loi de Programmation Militaire, …) et s’aperçoivent que ceux-là sont également attentistes malgré ces régimes contraignants.
  • Restent quelques proactifs qui ont intégré l’assurance comme un moyen de financement des risques au sein de leurs offres techniques, tels que des opérateurs de cloud ou des entités se sentant exposées à des cyber attaques, et qui trouvent ainsi un moyen de renforcer leurs fonds propres, de protéger leur bilan et de générer de la confiance.

 Piste 2: Stratégie des acteurs : courtiers, assureurs, réassureurs... (Acteurs et stratégie de groupe : une vision à court ou long terme ? Éléments différenciateurs : culture du cyber risques aux US, en Europe… ; Partenariats : Assureurs / Audits, rôle des courtiers…).

A la question de la stratégie des acteurs, Jean Laurent SANTONI a apporté deux éclairages.

  • Le premier concerne la question de savoir si les assureurs viennent sur un marché opportuniste et court terme dans lequel ils vont essayer de trouver de nouvelles voies de développement ou s’il s’agit d’un marché de spécialités réservé à des acteurs capacitaires qui veulent renforcer sur le long terme leurs positions existantes et leur portefeuille déjà bien constitués autour de risques financiers et techniques. La tendance observée est que les assureurs anglo-saxons sont d’abord venus sur ces nouveaux marchés de manière opportuniste en adaptant les contrats US fondés à la fois sur des obligations réglementaires de protection de la privacy (assurance de responsabilité) et sur des obligations de notification de violation de sécurité (assurance de dommages). De fait les assureurs continentaux se sont mobilisés pour protéger leur portefeuille existant et proposer des solutions alternatives aux solutions US. La grande question demeure celle de la capacité financière des acteurs et leur niveau d’engagement par sinistre.
  • Le second éclairage concerne le développement accéléré des partenariats entre les assureurs et les prestataires de services de sécurité qui se sont succédés ces derniers temps (Beazley et Logica, le courtier Marsh et Sogeti, AXA Matrix et Cassidian, très récemment Allianz et Thales, puis Hiscox et CS). Au-delà des alliances commerciales où chacun regarde avec intérêt la base client de l’autre, on peut se demander quelle est la valeur ajoutée pour le client d’entrer dans un tel dispositif qui peut facilement dégénérer en conflit d’intérêt, sauf à considérer que le prestataire de sécurité apporte son expertise à la connaissance du risque de souscription que prend l’assureur davantage que celle du risque d’exploitation supporté par l’assuré.

 Piste 3: Polices et Contrats (Besoins et offres en matière de services de financements sur les risques cyber: intérêt des besoins, Exemples. Spécificités des offres au niveau des garanties (indemnisations, couverture internationale, services spécifiques…. Premières indemnisations cyber: exemples et chiffres).

A la question de la pratique des polices et des contrats souscrits, Jean Laurent SANTONI a apporté également deux éclairages.

  • Le premier concerne la problématique de l’achat d’assurance. Selon les cas, l’achat d’assurance sera pris en charge par les services achats, les services assurances, les directions opérationnelles exposées aux risques métiers ou techniques, les risk managers ou encore les directions financières. Autant d’acteurs à la culture et à la sensibilité différente face à la problématique de cyber assurance.
  • Le second éclairage est relatif à la question de l’aversion au risque, c’est-à-dire de savoir si l’exposition au cyber risque relève d’un risque d’intensité (probabilité faible, impact fort) ou d’un risque de fréquence. Selon le point d’attachement, c’est-à-dire le seuil au-delà duquel l’assurance interviendra, on recherchera un assureur apte à répondre à son besoin de couverture. Si l’on est soumis à un risque d’intensité, on fera appel à un assureur capable de délivrer des capitaux importants en dommages et fraude (en plusieurs centaines de millions d’euros, comme Munich Ré) mais intervenant après une franchise importante. Si l’on est soumis à un risque de fréquence et que l’on doit notamment protéger sa réputation et gérer une crise de confiance de ses clients, on fera davantage appel à un assureur comme Beazley combinant une offre de services (forensic, gestion de crise, communication, assistance à la notification) et une offre d’assurance.

Pour terminer, une question a été posée par l’assistance, et nous ne résistons pas à la partager : la question était de savoir quel était le niveau de protection et de confidentialité attaché par les assureurs aux informations sensibles qu’ils demandent à leurs assurés pour la mise en place d’une police d’assurance, à fortiori lorsque ceux-ci font l’objet d’un audit de la part du prestataire de sécurité partenaire de l’assureur. S’agissant du risque de communication de ces informations à des tiers privés ou publics, nationaux ou internationaux, la réponse des assureurs est toujours attendue.

Jean-Laurent Santoni

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires