Cyberassurance : Swiss Re propose de renforcer la résilience pour la transformation numérique,
elle prévoit que les primes atteindront 23 milliards de dollars en 2025

Le paysage des cyberrisques évolue rapidement et les cyberattaques se sont multipliées. Cependant, la plupart des entreprises et des ménages ne sont pas assurés ou sont nettement sous-assurés. Alors que les compagnies d'assurance luttent pour rester à flot face à la hausse des cyber-sinistres, Swiss Re a recommandé un système d'assurance en partenariat public-privé, l'une des options étant un fonds soutenu par le gouvernement pour aider à combler le manque de couverture.

Les primes d'assurance cybernétique ne représentent qu'une fraction des pertes totales dues aux cyberattaques, les estimations situant le déficit de protection à 90 %. Il y a beaucoup à faire pour garantir une protection suffisante contre les risques afin de rendre la société plus résistante aux cyberrisques, et cet effort nécessitera une collaboration entre les entreprises, le secteur des assurances et les pouvoirs publics. Dans une étude publiée cette semaine, Swiss Re prévoit une croissance annuelle de 20 % jusqu'en 2025, les primes atteignant 23 milliards de dollars au cours des prochaines années.

Nom : cybB.jpg
Affichages : 695
Taille : 54,8 Ko

Les pertes annuelles liées aux cyberattaques s'élèvent à environ 945 milliards de dollars dans le monde, selon McAfee et près de 90 % de ce risque n'est pas assuré, selon des chercheurs en assurance de l'Association de Genève.

De l’avis du géant de l’assurance, pour adresser la question, une première exigence est d'améliorer la qualité des données et la modélisation pour une tarification plus précise. Les cyberrisques sont difficiles à quantifier en raison du manque de données standardisées et des contraintes de modélisation, mais aussi en raison du degré élevé d'incertitude entourant les pertes attendues et le potentiel d'accumulation des pertes.

Les risques futurs sont généralement déduits sur la base de données rétrospectives, mais cette approche n'a qu'une valeur limitée dans l'environnement en évolution rapide du risque cybernétique. Les réassureurs doivent également investir dans la main-d'œuvre cybernétique, pour aider à renforcer les compétences actuarielles, techniques et juridiques nécessaires aux cycles de souscription et de gestion des sinistres.

Deuxièmement, les réassureurs doivent mettre à jour le langage des polices pour plus de clarté et de cohérence, avec une plus grande standardisation des clauses d'exclusion et des termes et conditions. L'exposition à des scénarios de risques systémiques difficiles à assurer reste un obstacle à la capacité du secteur. Les parties prenantes ont pris des mesures pour résoudre certains de ces problèmes, mais des facteurs tels que l'attribution des cyber-événements restent un problème central. La clarification de l'étendue de la couverture peut conduire à une augmentation de la capacité cybernétique.

« Il est possible de mettre en place de nouveaux types de mécanismes de partage des risques entre le secteur public et le secteur privé. Un système d'assurance en partenariat public-privé, dans lequel la couverture des risques systémiques tels que les menaces pesant sur les infrastructures critiques est répartie entre les assureurs et un fonds soutenu par les gouvernements, est une option », déclare Swiss Re. « Une autre solution consiste à exploiter les capitaux alternatifs, par exemple en développant un marché de titres liés à la cyberassurance », ajoute la société d'assurance et de réassurance fondée à Zurich en 1863.

La cybercriminalité semble inarrêtable. On dénombre des milliers de cybercrimes chaque année, dont le coût varie de quelques centaines de dollars à plusieurs millions. Forrester estime qu'une violation de données typique coûte en moyenne 2,4 millions de dollars pour l'enquête et la récupération, seulement 55 % des entreprises ont actuellement des polices d'assurance cybernétique. En outre, moins de 20 % d'entre elles ont des limites de couverture supérieures à 600 000 dollars, ce que le cabinet d'analyse cite comme la demande médiane de rançàngiciels en 2021.

Le risque que représente la cybercriminalité pour les opérations et les bénéfices continue de croître pour de nombreuses organisations. Le temps nécessaire pour remédier à un cyberincident peut être considérable. Les entreprises et les organismes doivent faire davantage pour empêcher les cyberincidents de se produire. Ils doivent également en faire plus pour accélérer la restauration des services, remédier aux perturbations commerciales et réparer les dommages causés au moral des employés et à la confiance des clients.

L'assurance contre les cyberrisques devient également normale pour les grandes entreprises qui peuvent raisonnablement s'attendre à être confrontées à une cyberattaque à un moment ou à un autre, mais elle peut être plus difficile à justifier pour les petites entreprises et les municipalités qui peuvent choisir de s'auto-assurer plutôt que d'ajouter une prime d'assurance importante.

Les polices d'assurance contre les cyberrisques sont souvent conçues pour les entreprises qui ont des besoins particuliers. Elles sont souvent des contrats extrêmement complexes et les paiements peuvent dépendre de la définition précise de termes comme « système informatique ». Pour diverses raisons, seulement 28,4 % des demandes d'indemnisation en 2017 ont donné lieu à un paiement avec un versement moyen de 188 525 dollars.

Source : Swiss Re

Et vous ?

Quel est votre avis sur le sujet ?

Swiss Re a recommandé un système d'assurance en partenariat public-privé pour faire face aux cyberrisques, trouvez-vous pertinente cette recommandation ?

Voir aussi :

Les principales prédictions en cybersécurité pour 2022-23 : évaluation des performances des cadres, règlementation de la réponse aux ransomwares, consolidation des plateformes de sécurité, par Gartner

Safe Security annonce deux outils gratuits pour aider les entreprises à évaluer le risque financier des cyberattaques et à prendre des décisions financières en fonction de leur cyberrisque réel