250

Millions

D'ordinateurs 

attaqués

par FIREBALL

Faut-il y voir un effet de la série Mr. Robot qui met en scène les aventures d’un hacker ? Les TV américaines diffusent depuis quelques mois des publicités pour un nouveau type de produit, les assurances cybersécurité. Rebondissant sur l’actualité récente, les assureurs parlent de cyber criminalité et du Dark Web aux heures de grande écoute afin de proposer des assurances prenant en charge les risques liés au vol d'identité, à la fuite de données, aux litiges avec les cybermarchands et jusqu'à la e-Réputation. Si ces assurances en cybersécurité existent depuis quelques années déjà aux États-Unis, l'actualité récente les a replacées sur le devant de la scène. En effet, l'année 2017 a été marquée par l'essor d'attaques massives de malwares qui ont frappé tant les entreprises que les particuliers. Ainsi le malware chinois Fireball aurait touché 250 millions d'ordinateurs dans le monde. Copycat a pour sa part atteint 14 millions de smartphones Android auxquels il faut ajouter les 10 millions de victimes d'HummingBad. C'est une tendance lourde en termes de cybersécurité, les pirates ne visent plus uniquement les entreprises, n'importe quel foyer peut voir le PC familial bloqué en échange d'une rançon. Le grand public est une cible facile pour les ransomware car les ressources informatiques sont plus faiblement protégées que celle d'un grand groupe bancaire ou d'un ministère.

WannaCry : 200 000 victimes

WC

Shutterstock

L'assurance cybersecurité est née aux États-Unis

20

Milliards de $

d'ici 10 ans

Le marché des cyber-assurances pour les entreprises est désormais bien établi outre-Atlantique et est apparu dès le début des années 2000. S'il existe aujourd'hui de telles assurances en France, on estime que 90% du marché des assurances cyber est localisé aux États-Unis. Avec moins de 10% des entreprises couvertes, ce marché ne représente actuellement que 2 milliards de dollars, mais il pourrait atteindre 20 milliards d'ici 10 ans. La réglementation va jouer un rôle crucial, tant aux États-Unis sous l'impulsion de la réglementation californienne qui se diffuse rapidement dans les autres états américains. En Europe, le poids des amendes qui seront infligées aux entreprises en cas de fuite de données massive tels que définis par la nouvelle réglementation européenne RGPD (Règlement général sur la protection des données qui doit entrer en application en 2018) risque de pousser les entreprises à couvrir ce risque. Selon l'enquête annuelle de RIMS (Risk Management Society, association des gestionnaires de risque) auprès de ses 11 000 membres, le taux d'entreprises américaines couvertes par une assurance cybersécurité aurait bondi de 51% en 2015 à 80% en 2016 puis 83% en 2017. Alors que cette prise de conscience du risque lié à la cybersécurité est maintenant avérée dans les entreprises américaines, les assureurs cherchent à conquérir un marché bien plus large, celui du grand public.

enquete RIMS

RIMS

Cette idée de proposer des assurances "cybersécurité" pour les particuliers trotte dans la tête des assureurs américains depuis plusieurs années. Le Wall Street Journal faisait le point en 2015 sur ce marché encore récent. Déjà les polices d'assurance habitation ont commencé à être assorties d'options relatives au vol d'identité. L'assureur s'engageait alors à dédommager un membre de la famille dont l'identité avait été usurpée auprès de banques ou autorités. L'assureur s'engage à dédommager l'assuré à hauteur de 25 000 $ et jusqu'à un million de dollars pour les achats réalisés par l'usurpateur mais aussi le temps passé par l'assuré à réaliser les démarches administratives nécessaires à un rétablissement de son identité numérique. Bien évidemment, l'assureur offre à son client des logiciels anti-phishing qui doit permettre d'écarter en partie le risque d’attaque.

41

Millions

D'Americains

victimes de vol

d'identité

Ce marché est potentiellement intéressant pour un assureur, car si les primes ne sont de l'ordre que de 25 $ par an, ce sont 41 millions d'américains qui ont été victimes d'un vol d'identité en 2015. Les vols massifs d'emails, comme celui qui a frappé Yahoo, facilitent grandement la tâche des voleurs qui peuvent ainsi exploiter ces coordonnées achetées sur le Dark Web pour quelques cents, on parle de 20 dollars pour un lot de 40 000 adresses mails. L'américain Experian promet à ses assurés d'effectuer un monitoring permanent du Dark Web afin de déclencher l'alerte si les identifiants de ceux-ci apparaissent sur les fichiers mis en vente  par les pirates. Si les assureurs estiment le public américain mûr pour ce type d'assurances, c'est que les assurances liées aux moyens de paiement et au E-Commerce ont montré la voie. Bien moins protégés que les consommateurs français face aux litiges liés à leurs achats en ligne, les américains ont opté pour des protections additionnelles pour leurs moyens de paiements. Cette maturité a poussé les assureurs à développer ces assurances contre le vol d'identité et, plus récemment, contre la perte de données. Les grandes vagues d'attaques de malware ont été largement relayées dans les médias et de nombreux particuliers ont été touchés par des ransomware (ou rançongiciel) qui ont chiffré le contenu de leur disque dur et réclamé plusieurs centaines, voire milliers de dollars en bitcoins, pour en libérer le contenu. Les assureurs ont créés des assurances indemnisant les particuliers incapables de restaurer leurs données personnelles suite à une telle attaque.

La France, un marché totalement immature

En France, le constat est tout autre. Non seulement il existe très peu d’assurances de ce type pour les particuliers, mais même les entreprises ont du mal à assurer les risques liés à la cybercriminalité. Les experts estiment ce marché français à seulement 10 000 polices signées. Seulement 60% des entreprises du CAC40 aurait fait cette démarche alors que les offres d’assurance sont elles-mêmes très inégales. Alors que certains assureurs proposent des assurances cybersécurité aux PME simplement en complétant un formulaire sur Internet, d’autres imposent des audits de sécurité complets à leurs prospects et leur imposent de mettre en place des moyens de défense très performants avant de les assurer. Bien qu’il existe des assurances en cybersécurité depuis près de 20 ans, pour Olivier Blandin, chef de projet distribution auprès du LAB (laboratoire assurance Banque), le marché français reste très immature : « Il s’agit d’un marché qui reste essentiellement américain et en partie anglais. Sur le continent européen, il reste totalement balbutiant. A chaque attaque de ransomware relayée par les médias, les PME songent à se doter de telles assurances, mais le soufflet retombe aussi vite car si le marché est restreint, il y a peu d'offres en regard. » Le spécialiste souligne que peu d'agents généraux ou de courtiers sont réellement capables de répondre à des demandes dans ce domaine, ce qui complique la tâche d’une PME qui souhaiterait s'assurer contre le risque de perte de données ou de cyberattaque. D’autre part, il émet quelques doutes quant aux contrats américains « importés » en Europe. « Les assurances continentales, conçues pour répondre aux attentes des grandes entreprises, sont bien souvent inspirées des assurances américaines et traduites sans vraiment tenir compte des spécificités nationales, comme par exemple la couverture du risque pénal qui ne peut être assurée en France comme c'est le cas aux États-Unis. » Pour Olivier Blandin, même le durcissement de la réglementation européenne relative à la protection des données, le RGPD (Règlement général sur la protection des données) qui doit entrer en vigueur en 2018, ne suffira pas à pousser les entreprises françaises à s’assurer. « Les chefs d’entreprise ne font pas le lien entre la protection des données et l'assurance. Aucun consultant en cybersécurité qui mène des audits de système d'information ne tisse de partenariat avec des assureurs afin de proposer une offre complète de sécurisation du système d'information et une assurance destinée à couvrir les risques légaux. Cela témoignage du manque de maturité total du marché français et on ne sait pas aujourd'hui comment faire décoller ce marché ! »

Pour l’expert, le seul moyen de développer ces contrats serait qu'ils soient imposés par la réglementation ou bien inclus dans les contrats comme le font certains acteurs anglo-saxons qui le font dans des contrats responsabilité civile. « C'est une solution qui permet de mutualiser les coûts sachant que le coût d'assurance cyber est aujourd'hui très aléatoire, car les assureurs n'ont pas un historique suffisant pour connaitre le coût moyen, or le coût d'une cyberattaque sur une PME est de l'ordre de 600 000 €, de quoi mettre en faillite beaucoup de PME/TPE françaises. »

Blandin
Regard d'expert

Olivier Blandin

Chef de projet distribution - LAB

« On ne sait pas aujourd'hui comment faire décoller ce marché ! »

Si on considère le marché grand public français, les assureurs doivent faire preuve d’imagination afin de pousser les français à s’assurer contre le risque cyber. Le haut niveau de protection garanti par la législation française aux cyberacheteurs sur Internet bride le marché des assurances sur les moyens de paiement, ce qui a poussé les assureurs à compléter la couverture de ces assurances avec la perte des papiers d'identité, des clés ou du smartphone. Norbert Girard, Secrétaire général de l'Observatoire de l’Evolution des Métiers de l’Assurance souligne : « Les premières offres d'assurances relatives à la sécurité informatique se sont montées en France pour le marché entreprises, notamment sur la reconstitution de fichiers suite à des pertes ou sinistres. Pour les particuliers, le volet usurpation d'identité pousse les assureurs à proposer des garanties annexes ou optionnelles sur les contrats multirisques habitation. Cela fait partie de la réflexion portée sur l'élargissement du spectre des risques couverts par les assureurs. »

Dans cette démarche, plusieurs assureurs ont ajouté à leurs portefeuilles des offres des assurances liées à l’usurpation d’identité ou la protection de l’e-Réputation, mais la question de l’appétence du public et question du coût de ces assurances de niche se pose. « Le problème de ces assurances pour les particuliers, c’est de savoir si les gens auront les moyens de s’offrir de telles polices » estime Olivier Blandin. « De telles offres ne peuvent exister que si leur coût peut être mutualisé sur un grand nombre de clients. Une grand banque qui détient plusieurs millions de convention de compte client et qui n'aura aucune difficulté à amortir les coûts d'une telle assurance. »

Depuis plusieurs années BNP Paribas propose une offre baptisée BNP Paribas Sécurité Plus, qui était, à l’origine, une offre de sécurisation des moyens de paiement assez classique, couvrant les chéquiers et espèces. Depuis, cette offre a peu à peu évoluée pour inclure une protection juridique en cas d’utilisation frauduleuse des données personnelles de l’assuré. « Il s’agit de proposer une plateforme au client pour le renseigner et l’aider dans ses démarches lorsqu’il est confronté à une usurpation d’identité » explique Emmanuelle Fenard, responsable marketing de BNP Paribas Cardif. « Nous aidons notre client dans l’analyse juridique et la résolution du litige. Dans le cas d’une intervention à l’amiable, nous pouvons offrir jusqu’à 1 000 euros de compensations. Si la démarche à l’amiable n’aboutit pas, un accompagnement judiciaire est pris en charge jusqu’à hauteur de 10 000 euros de frais d’avocats. Si le préjudice n’est pas réglé dans les 5 mois qui suivent la déclaration, les pertes de salaires et certains autres frais occasionnés peuvent être remboursés à hauteur de 5 000 euros. »

FENARD
Regard d'expert

Emmanuelle Fenard

Responsable Marketing

BNP Paribas Cardif 

« Dans les sujets liés à la protection, les Français sont souvent dans le déni. »

La responsable reconnait la faible appétence des Français pour les assurances cybersécurité comparée à ce qu’on observe aux États-Unis. « Dans les sujets liés à la protection, les Français sont souvent dans le déni. Ils estiment être suffisamment protégés, avoir les bons mots de passe et sont souvent dans une posture du « cela n’arrive qu’aux autres » qui peut expliquer que les européens sont moins demandeurs de ce type d’assurances. C’est aussi la raison pour laquelle nous avons inclut ces garanties dans notre offre liée aux moyens de paiement afin de maximiser la couverture de nos clients. » 

Face au manque de maturité du marché français face au risque cyber, plutôt que de proposer des assurances cybersécurité aux particuliers, les assureurs ont dû se résoudre à élargir la couverture de leurs assurances liées aux moyens de paiement ou IARD, en attendant que les Français prennent réellement conscience des risques qui pèsent sur leur identité et leurs données personnelles. 


Rédigé par Alain Clapaud
Journaliste