ATOUT RISK MANAGER N°20

ATOUT RISK MANAGER N°20 I PRINTEMPS 2019 59 PRODUITS ET SERVICES RISQUES CYBER UN MARCHÉ QUI MANQUE ENCORE DE MATURITÉ Sur un marché encore immature, le nombre d’acteurs et les capacités ne cessent d’augmenter chaque année, avec des écarts flagrants de couverture. Les services de prévention et d’assistance apparaissent essentiels pour maîtriser la sinistralité et relancer rapidement l’activité, sans nuire à sa réputation. D e l’avis de tous, la maturité du marché cyber est encore loin. Si c’est aux États- Unis que les premières garanties cyber sont apparues, elles ont progressivement traversé l’Atlantique. « En 2008, on comptait à peine une dizaine d’acteurs proposant des contrats cyber en France » se souvient Laure Zicry, Head of Cyber western Europe de Willis Towers Watson. « Aujourd’hui, nous travaillons avec 35 assureurs et les capacités sont en constante hausse sur ce marché » constate Jean Bayon de la Tour, responsable cyber pour Marsh Europe, avant de préciser : « pour l’instant, nous n’avons jamais eu de problèmes de capacités. Nous avons récemment placé un contrat à 400 M€, sans épuiser le marché européen » . Avec 700M€ de capacités sur le marché français, d’après les estimations de Gras Savoye Willis Towers Watson, l’offre reste en effet bien supérieure à la demande. « Bien que nous ayons peu de recul actuariel sur ce risque, les assureurs se montrent appétents car le cyber reste la seule ligne IARD qui offre des opportunités de nouveau business » rappelle Jean Bayon de la Tour, pour qui le marché cyber reste un marché soft. UN MARCHÉ SOFT DEPUIS SA CRÉATION S’il n’y a pas de problème de capacités, le défi consiste pour les acteurs à coller aux besoins des clients et à les aider à bien identifier leurs risques. Après plusieurs évolutions, les contrats proposés sur le marché sont aujourd’hui majoritairement composés de quatre volets : perte d’activité ou coûts directs, responsabilité civile, assistance et prévention. Sur ce risque spécifique, les DSI, les DAF et les Risk Managers sont les premiers interlocuteurs des assureurs et des courtiers, mais encore faut-il les faire dialoguer ensemble… « Ce dialogue, très complémentaire, constitue déjà une première étape à franchir » reconnaît Jean Bayon de la Tour : « nous devons également leur expliquer la valeur ajoutée de la cyberassurance dans leur dispositif de gestion des risques » . Et d’ajouter : « En Europe, les points de vigilance des entreprises portent surtout la perte d’exploitation et les frais supplémentaires induits*, qui représentent la première cause de déclenchement des garanties cyber et 90% des sinistres gérés en Europe en 2018 : c’est ce qui les inquiète le plus et ce sur quoi elles veulent être bien protégées. Alors qu’aux USA, c’est surtout la fuite des données sensibles qui motive la souscription d’un contrat cyber » . Avec l’entrée en vigueur du RGPD le 25 mai 2018, l’enjeu des données a néanmoins pris une importance croissante en France, la CNIL ayant déjà reçu près de 1 000 notifications en six mois, comme le rappelle Laure Zicry. CYBER-ATTAQUE : UNE MENACE CROISSANTE POUR LES ENTREPRISES En matière de risque cyber, aucune société ni aucun secteur d’activité n’est à l’abri. « Toute entreprise peut, un jour, être touchée » martèle Laure Zicry, tout en reconnaissant que certains types d’entreprises sont plus à risque, comme celles qui détiennent beaucoup de données ou dont le business model est basé sur la vente en ligne. « L’exposition géographique, le secteur d’activité et le mode d’organisation influent sur le « Le cyber reste la seule ligne IARD qui offre des opportunités de nouveau business. » Jean Bayon de la Tour, Responsable cyber de Marsh Europe * frais supplémentaires induits : main d’œuvre supplémentaire pour gérer manuellement la production, indemnités de retard versées aux clients, indemnités de compensation aux fournisseurs, éventuellement coûts de réparation du matériel informatique endommagé…