Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

Entretien expert cyberisques NEWS : 

Olivier de Cian, chargé de clientèle Grand compte chez Verspieren

 

Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

 

Cyber-Ass-Cyberisques-NEWS-sept-2015

 

 

 

 

Cyberisques NEWS: La loi EUR sur la protection des datas nommée RGPD va t-elle faciliter de nouveaux contrats pour les polices « cyber » ?

Le RGPD va probablement accélérer la souscription de nouveaux contrats du fait de l'obligation imposée aux entreprises de notifier les atteintes aux données personnelles.

Il est difficile de quantifier le nombre de nouveaux contrats qui seront souscrits.

Nous constatons cependant depuis l'année dernière un prise de conscience plus marquée par les entreprises notamment les ETI et PME même si le passage à l'acte reste difficile du fait de la nécessité d'allouer un budget complémentaire à la couverture de ce nouveau risque en période de ralentissement économique.

 

 

« Frais de notification » Quelles couvertures réelles sont proposées par le marché en Europe ?  

Il s'agit de prendre en charge notamment :

-       des frais permettant d'identifier les personnes concernées par l'atteinte à la donnée personnelle

-       des frais d'impression, d'envoi, de publication et de mise en place de plateforme téléphonique...

Souvenons nous que l'approche cyber varie  selon l'activité de l'assuré (industriel, retail, services...) . Certains volets de garantie sont plus importants que d'autres en fonction de leur activité.

 

 

Les polices CYBER proposées en Europe sont elles réellement distinctes de celles placées aux États-Unis ? Notons qu en 18 mois toutes les polices Européennes en matière de cyber ont été refondues.

C'est exact. Des compagnies comme AIG, BEAZLEY, ACE... ont fait évoluer leurs produits afin de tenir compte des remarques émises par les assurés et les courtiers sur les limites des premières couvertures proposées en 2012 et 2013.  Le grand intérêt des polices cyber réside dans la couverture des frais de notification, de la prise en compte des frais de défense dans le cadre d'une enquête de la CNIL, de l'assistance avec notamment un conseil juridique, l'appui d'expert informatique et de cabinets spécialisés en matière de gestion de crise et la possibilité  également de bénéficier d'extension comme la couverture de la cyber –extorsion.

 

 

Concernant les RC (Responsabilité civile) on dit souvent : si ce n'est pas exclu c'est couvert. Que proposent les acteurs de la « cyber-assurance » sur le marché EUR sachant qu'en matière de RC US et EUR ont des approches tres différentes ?

Cela se justifie par la différence de législation concernant l'atteinte aux données personnelles (obligation de notification aux USA). Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. Aujourd'hui nous sommes sur un dommage immatériel non consécutif. Les entreprises n'étaient pas réellement bénéficiaires de couvertures adaptées aux cyber-risques. Dans les esprits les PME / PMI viennent à la souscription certes sur des petites capacités en premier risque (1 millions en moyenne) mais elles y viennent ». Un effort d'explication doit être réalisé par les courtiers auprès de leurs clients pour justifier l'intérêt des couvertures cyber au regard des couvertures traditionnelles déjà existantes (Dommages aux Biens et responsabilité Civile). Si il est plus clair de justifier l'absence de garantie des Pertes d'Exploitation et des frais de reconstitution des données après une atteinte aux données dans les contrats Dommages traditionnels, il y a encore débat concernant les garanties de responsabilité Civile.

Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. On peut retrouver certaines exclusions dans les polices RC qui sont couvertes par les contrats cyber: exemple divulgations de données personnelles, de secrets professionnels (propriété intellectuelle), les dommages aux tiers suite à virus. De plus la garantie des dommages immatériels non consécutifs dans les contrats RC est souvent accordée avec des montants limités.

 

 

Selon Vous, et l'étude que vous publiez (cf BONUS) il existe un problème lié à l' évaluation des risques : les entreprises connaissent-elles réellement leur niveau de risque ? Apprécient elles réellement la valeur des et données et connaissent elles leur localisation notamment concernant les données sensibles ? 

Conscient de ce problème, Verspieren s'est associée à CGI Business Consulting et propose une aide à la cartographie et à l'identification du risque cyber pour ses clients. Pour un courtier tel que Nous, la cyber assurance doit permettre de renforcer la politique de prévention et protection dans les entreprises en matière de cyber sécurité (audit, assistance en cas de sinistre...) à l'instar de la prévention incendie.

 

 

Les cyber-assureurs peuvent parfois accompagner leurs clients, mais en pratique les premiers partenariats semblent chaotiques ? Est ce un problème de culture ?

Il est important pour les courtiers de faire preuve d'une forme d'humilité dans l'identification et la quantification du risque cyber du fait du caractère évolutif de ce risque. C'est la raison pour laquelle, lorsque les entreprises ne sont pas en mesure d'évaluer leur propre exposition, nous proposons à nos clients une évaluation de leur risque cyber avec l'appui d'un cabinet spécialisé en la matière (CGI Business consulting).

Certaines compagnies telles que Beazley développent une approche services prononcé ACE, AIG embrayent avec aussi sur «le package services ». Pourquoi ces offres de services constituent un tendance majeure du marche des polices cyber en 2016 ?

Les différents assureurs sur le marché français  (Ace Beazley, Zurich, AIG, AXA...) ont mis l'accent sur l'assistance de l'assuré avec la mise en place de services d'accompagnement en cas d'atteinte à la sécurité informatique et d'atteinte aux données personnelles (expert informatique, expert juridique, consultant en gestion de crise, monitoring...) qui viennent compléter les garanties cyber classiques (garantie des pertes financières, frais supplémentaires, frais de défense, couverture RC  et frais de notification)

 

 

En matière de capacités, quelles évolutions constatez-vous ?

Les capacités sur le marché augmentent tous les ans avec l'arrivée de nouveaux acteurs.

Il est difficile d'évaluer les capacités réelles du marché français (capacité variables entre les garanties Dommages immatériels et RC) mais capacité cumulée théorique d' environ 250 à 300 millions €.

 

 

« Responsabilité des mandataires sociaux en cas de violation de données des explications seront données. La gestion de crise avec conséquence d'impact plus grande en terme de mauvaise communication » 

Le risque cyber est un risque émergent, le risque de mise en cause de la RC des dirigeants est juridiquement possible mais semble à ce jour extrêmement hypothétique compte tenu que la très grande majorité des entreprises en France n'a pas encore souscrit ce type de couverture (plutôt une responsabilité de l'entreprise que de son dirigeant).

Propos recueillis par @jpbichard

 

 

 

BONUS: 

ENCORE IMMATURE, LE MARCHE FRANÇAIS DE L’ASSURANCE CONTRE LES CYBER RISQUES VA EXPLOSER CES PROCHAINES ANNÉES

Le marché mondial des primes d’assurance contre les cyber attaques devrait doubler au cours des quatre prochaines années, boosté par un effet de rattrapage massif des entreprises européennes, et notamment françaises. Pour accompagner cette tendance, Verspieren, premier courtier en assurances français à capital familial, aide ses clients et prospects à identifier les risques auxquels ils sont confrontés sans vraiment le savoir et les avoir mesurés. Si les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015* (+51% sur un an vs +38% en moyenne mondiale), très peu d’entre elles ont initié une démarche d’audit en vue de souscrire un contrat d’assurance. Au niveau mondial, les primes d’assurances contre les cyber-attaques souscrites en 2014 représentent 2,5 milliards de dollars, dont 2,2 milliards pour les seuls Etats-Unis et 165 millions pour l’ensemble de l’Europe.

Conscientes du risque financier que font peser sur elles les cyber attaques, les entreprises européennes devraient largement contribuer au doublement estimé du marché à horizon 2020. La protection des données, au cœur des débats du prochain Forum international de la cybersécurité (Lille, les 25 et 26 janvier 2016), représente l’enjeu de sécurité majeur des entreprises, qui n’en sont paradoxalement pas conscientes. Ainsi en France, le coût moyen d’une fuite était de 122€ par donnée volée en 2013 (coût lié à la réparation des dommages pour l’entreprise et pour son client, aux frais de justice, aux amendes de la CNIL…). « Pour avoir un ordre d’idée, il faut savoir que 550 millions de données personnelles ont été dérobées aux Etats-Unis en 2013. Avec un tel chiffre, un rapide calcul permet d’imaginer facilement l’écrasement financier auquel doit faire face une entreprise victime de vols de données », explique Yves Fournier, Directeur de clientèle Grand compte chez Verspieren.

Selon le rapport Verizon 2015, la compromission de données représente un coût variable entre 2 et 5 millions de dollars dans 95% des cas, certaines allant jusqu’à 200 millions de dollars. Risque de faillite d’entreprises Malgré de tels risques financiers, les entreprises françaises sont encore peu nombreuses à avoir souscrit à une protection assurantielle contre les cyber-risques. « Les PME et les ETI, qui représentent 98% du paysage économique français, restent peu équipées contre de telles menaces souvent parce qu’elles n’estiment pas prioritaire d’allouer un budget à cela. Pourtant ces entreprises sont vulnérables et certaines peuvent ne jamais se relever du coup financier porté par une cyber attaque. Les cyber attaques impliquent donc des conséquences financières qui ne peuvent être ignorées », prévient Yves Fournier.

 

Conscient que la première étape vers une maturité du marché passe par un travail de pédagogie et d’accompagnement à la prise de décision, Verspieren, en partenariat avec CGI Business Consulting, propose à ses clients et prospects un service d’évaluation des cyber risques et des couvertures les plus adaptées. « Si les possibilités de croissance de ce marché sont très fortes, nous devons encore faire un long travail de sensibilisation auprès des dirigeants et responsables informatiques, avant de leur proposer la meilleure couverture assurantielle », conclut Yves Fournier. *Tiré de l’étude « The Global State of Information Security Survey 2016 » réalisée par PwC en collaboration avec CIO et CSO.

Verspieren, premier courtier en assurances français à capital familial, prévoit une explosion du marché mondial des primes d'assurance contre les cyber-attaques au cours des prochaines années. 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires