ATOUT RISK MANAGER N°35

ATOUT RISK MANAGER N°35 I HIVER 2022-2023 44 À l’affiche Revue de presse Les captives et la loi de Finances, le risque climatique, toujours et encore l’état du marché et la cyber assurance avec notamment la naissance Miris, mutuelle d’assurance dédiée au risque cyber, recomposition du paysage des courtiers et toujours un peu d’automobile. AUTO Les entreprises au dé du risque climatique Analyse Le dérèglement climatique est source d’inquiétudes pour l’activité des entreprises, a fectée par la fréquence et l’intensité accrue des aléas climatiques. Pour la première fois, un baromètre, publié mercredi 15 décembre, évalue l’action des responsables de la gestion des risques dans les entreprises. Pierre-Henri Girard-Claudon, le 14/12/2021 à 18:42 Modi9é le 14/12/2021 à 19:17 Lecture en 3 min. À vif France Monde Religion Economie Culture Environnement Accueil Economie > réservé aux abonnés Un fournisseur dans le Kentucky (États-Unis) dont l’entrepôt a été détruit par une tornade ; des marchandises affrétées par v oie fluviale qui n’arrivent pas du fait d’un fleuve à sec ; un composant introuvable en raison d’une envolée du prix des matières premières… Pour les entreprises, dérèglement climatique rime avec nouveaux risques. C’est le métier des « gestionnai res de risques », chargés dans les entreprises d’identifier les risques stratégiques et d’indiquer les solutions pour y parer. Ils élaborent pour cela des cartographies, documents visuels où sont clas sés les risques en fonction de leur probabilité de survenance et de leur impact. → À LIRE. Le changement climatique va faire flamber le coût des assurances Mais où en sont-ils exactement face aux aléas climatiques toujours plus pressants ? Le pr emier baromètre publié mercredi 15 décembre par l’Association pour le management des risques et des assurances de l’entrepris e (Amrae) et Axa Climate, filiale du géant français de l’assurance, apporte des éléments de réponse. Il est réalisé à partir des témoignages de 123 gestionnaires de risques, membres de l’association. Difficile d’analyser les conséquences du dérèglement climatique Les sondés ont conscience du r isque climatique. Ils sont plus de 80 % à craindre les conséquences physiques d’événements que sont les tempêtes, la canicule ou encore les inondations sur les infrastructures de leur organisation. À lire aussi Catastrophes naturelles : vers des zones non assurables ? Ils redoutent aussi l’impact de ces aléas climatiques sur l’activi té : qu’il s’agisse de difficultés à t rouver des matières premières, de l’énergie à un prix raisonnable ou encore de nouvelles contraintes réglementaires, tel le une taxe carbone qui va augmenter les coûts de production des entreprises plus polluantes. Changement climatique COP27, où en sont les émissions de gaz à e fet de serre ? « Les COP n’ont plus de crédibilité car les engagements pris ne sont pas suivis d’e fets » COP27 : au Sénégal, la révolution verte d’Oumar Ba « En pleine COP27, une saison des pluies catastrophique au Tchad souligne notre manque d’anticipation » Voir plus d'articles Les plus lus 1. Cardinal Ricard : retour sur les neuf mois qui ont précédé l’éclatement de l’a faire 2. « Je me sens trahi » : les lecteurs de « La Croix » réagissent aux révélations des évêques sur les abus 3. Qui sont les « onze » évêques français mis en cause devant la justice civile ou canonique ? 4. Aveux d’abus sexuels du cardinal Ricard : « Peutêtre que c’est un point de nonretour » 5. Cardinal Ricard : l’Église de France une nouvelle fois dans la tourmente Dans ce dossier Lire le Journal Lire l'Hebdo Rubriques Bienvenue ASSURANCE CYBER - Les bancassureurs attaquent le marché des PME Alors que BNP Paribas a signé un partenariat avec la cyber-assurtech Stoïk, d’autres groupes travaillent sur le lancement d’une offre aux multiples enjeux. N° 1585740 jeudi 10 au mercredi 16 novembre 2022 Édition(s) : Edition Principale Page 10 1301 mots - 5 min MODÈLES ÉCONOMIQUES L’explosion du risque cyber oblige les bancassureurs à plancher sur leur offre de protection dans le domaine. C’est le cas de BNP Paribas qui a dévoilé mi-octobre un partenariat avec la cyber-assurtech française Stoïk. Alors qu’il commercialisait auparavant un produit structuré par Axa dans un cadre plus large, le groupe a voulu redéployer une offre spécifique avec la jeune pousse face à la numérisation croissante de l’économie. « Notre conviction est que le risque cyber doit être pris en compte par nos clients pour sécuriser leur croissance future. Cela s’inscrit dans notre stratégie de développement de services extra-financiers », explique Xavier Chopard, directeur transformation, innovation & marketing chez BNP Paribas. Stoïk mise sur cette dynamique. « Nous cherchons à avoir toujours plus d’apports de croissance et aimerions, dans l’idée, travailler avec toutes les banques », affirme Jules Veyrat. Le cofondateur et directeur général de Stoïk, qui a déjà levé près de 15 millions d’euros en 2022 pour assurer les PME contre le risque cyber, discute avec plusieurs groupes : « Les bancassureurs ont des volumes très conséquents de cibles TPE et PME et un pouvoir de prescription extrêmement privilégié. Le fait d’avoir BNP Paribas qui recommande notre solution et redirige vers un de nos courtiers partenaires constitue une double validation qui facilite la souscription. » D’autres banques labourent le terrain. « Le marché, assez resserré, est composé principalement de deux typologies d’acteurs : les courtiers spécialistes des risques d’entreprise, qui vont principalement cibler les grandes entreprises, et les nouveaux acteurs, qui visent plutôt les ETI et les PME », décrit Fabien Dupré, expert cybersécurité au sein des services financiers d’Accenture. Depuis septembre 2020 dans le réseau Crédit du Nord et octobre 2021 à la Société Générale, Société Générale Assurances propose par exemple une offre d’assurance cyber, à partir de 260 euros par an, couvrant les préjudices consécutifs à un virus, une attaque cyber ou une erreur portant sur les systèmes informatiques. Le Crédit Agricole, à travers sa filiale d’assurance dommages Pacifica, a lancé dès 2019 une offre de cyberprotection dans ses caisses régionales et LCL. Elle couvre les conséquences d’une attaque (dommages causés aux tiers, pertes d’exploitation, assistance…). La banque, qui compte environ 2.500 contrats cyber dans son portefeuille, propose des garanties allant de 50.000 à 5 millions d’euros avec des tarifs de quelques centaines à quelques milliers d’euros. La Banque Postale mène quant à elle une réflexion sur le sujet. Un potentiel élevé « L’assurance cyber est apparue comme un complément pertinent de notre palette d’offres à destination de nos clients TPE et PME. Les banquiers sont très souvent mis au courant d’une attaque cyber subie par leur client puisque cela joue in fine sur la relation bancaire, ce qui procure une légitimité aux bancassureurs pour s’emparer du sujet », rapporte Patrick Degiovanni, directeur général adjoint de Pacifica. La matière est là : les 4,1 millions de PME en France, qui représentent 99,9 % des entreprises de l’Hexagone et 44 % de la valeur ajoutée, ne sont que 0,0026 % à être assurées, soit seulement 1 % des 185 millions d’euros de primes versées au titre de la garantie cyber en 2021 (voir le graphique page 12), selon l’Association de management des risques et des assurances de l’entreprise (Amrae). Pas moins de 19 % d’entre elles ont pourtant été confrontées à une attaque en 2021, alerte la Commission européenne, avec des conséquences parfois fatales. Une étude réalisée par le courtier Bessé sur un panel de 48 incidents entre 2017 et 2021 montre que le risque de défaillances des ETI et PME françaises non cotées augmente en moyenne de 50 % dans les six mois qui suivent un incident cyber. « Ces réflexions des bancassureurs répondent surtout aux difficultés d’aller toucher et sensibiliser les TPE-PME pour les acteurs du marché de l’assurance », observe Paul Berger de Gallardo, avocat au sein du cabinet Taylor Wessing et spécialiste de ces questions. « Si les dirigeants sont un peu plus sensibles à la couverture de ces risques que par le passé, le travail de terrain de nos banquiers reste très important », estime Xavier Cho1 pard. Mais ces efforts sont loin d’être dénués d’intérêt. « Les bancassureurs sont des groupes universels qui se doivent de couvrir tous les besoins de leurs clients. Ces évolutions s’inscrivent aussi dans le développement de leurs activités assurantielles qui représentent un relais de croissance majeur et un nouvel enjeu dans la conquête du marché de l’assurance des TPE et PME », analyse David Sardas, expert banque & assurance au sein des services financiers d’Accenture. Certes, le marché de l’assurance cyber a été marqué par des pertes ces dernières années, mais la rentabilité d’un client, notamment en assurance, s’analyse sur l’ensemble de son portefeuille, pas sur un produit. « Proposer une assurance cyber permet de fidéliser un client », complète David Sardas. Un risque récent et émergent Les défis restent majeurs pour les bancassureurs. Le risque cyber étant relativeme t récent, les acteurs disposent de peu de données, rendant la mesure du risque très compliquée. « Les bancassureurs ont commencé par chercher à adosser ce service en s’appuyant sur des compétences et expertises internes avant de changer de stratégie face à la complexité de la chose », explique Fabien Dupré. « U e des difficultés de cette couverture est qu’elle nécessite des expertises différentes de ce que nous faisions jusqu’à présent pour apprécier le risque. C’est un risque émergent, pas une extension de garantie d’une multirisque pro ou entreprise, qui nécessite d’avoir des équipes spécialisées », illustre Patrick Degiovanni. L’offre de Pacifica est par exemple assurée en partage avec Hiscox alors que la Société Générale a travaillé avec AIG pour se lancer. Les bancassureurs misent aussi sur un rôle d’assistants durant la crise, souvent grâce à des partenariats avec des sociétés spécialisées qui permettent en outre d’investiguer sur les attaques. « Certaines entreprises, en particulier les TPE et PME, négligent cette phase d’investigation numérique car jugée trop onéreuse, complexe, voire inutile. Cela va de pair avec la volonté de redémarrer au plus vite des activités », décrit une étude sur la sinistralité cyber du courtier Bessé. Mais les expertises permettent surtout de diminuer le risque. « Le partenariat permet de s’appuyer sur des acteurs en mesure de ‘pricer’ correctement le risque et de mettre en place les mesures nécessaires pour le limiter. Il faut arrêter de considérer que le risque cyber est non assurable, il faut le rendre assurable », explique David Sardas. L’offre de Stoïk associe par exemple couverture assurantielle et logiciel de cybersécurité avec un scan externe, un outil de simulation de phishing et bientôt un scan interne pour détecter les mauvaises configurations et vulnérabilités d’infrastructures cloud. Société Générale Assurances s’appuie sur Oppens, une filiale du groupe Société Générale spécialisée dans le conseil et l’accompagnement des TPE-PME dans l’amélioration de leur cybersécurité. Pacifica compte accélérer sur la question, comme l’explique Patrick Degiovanni : « Nous avons démarré avec une offre au profil assurantiel et d’assistance. Pour réduire le risque, nous réfléchissons désormais à proposer à nos clients des analystes d’audit des systèmes d’information. » Les offres des bancassureurs se distinguent, enfin, par leur frilosité concernant le remboursement des ransomwares, les logiciels d’extorsion. Seule Pacifica propose une telle garantie, après s’être retirée de l’accompagnement lors du paiement. « En tant que nouveaux entrants, les bancassureurs ne vont sans doute pas se positionner immédiatement sur les garanties rançons et attendre d’avoir un peu plus de recul sur l’évolution du marché », juge Pierre-Olivier Leblanc, avocat associé chez Taylor Wessing en charge de la pratique assurance. Dans tous les cas, il faudra compter sur eux dans le futur. ■ par Bertrand De Meyer Tous droits réservés L'Agefi Hebdo 2022 417cf57c8895a28b102b9680bd00212b96b13e4fe48984b0d0e7d12 Parution : Hebdomadaire 2 Le projet de loi d’orientation et de p rogrammation du ministère de l’Inté rieur 2022-2027 (Lopmi), dont l’article 4 propose de compléter le Code des assurances pour conditionner le remboursement d’une cyber-rançon par un assureur au dépôt d’une plainte, entame ce mercredi 2 novembre son examen par la Commission des lo is de l’Assemblée nationale, après l’audition du ministre de l’Intérieur Gérald Darmanin. La durée, ça compte Le Sénat, qui a adopté la Lopmi en p remière lecture, a toutefois modifié la version initiale de l’exécutif, qui donnait 48 heures à la vic time pour porter plainte après le pa iement de la rançon, en adoptant un amendement du sénate ur socialiste Rémi Cardo. Celui-ci co nditionne le remboursement à «la justification du dépôt d’une pré-p lainte de la victime auprès des auto rités compétentes dans les 24 heures suivant l’attaqu e et avant tout paiement de cette r ançon». Cette modification est loin de clore les débats autour d e la question puisqu'une vingtaine d ’amendements déposés par des députés de différents bord s autour de plusieurs thématiques seront examinés par la Commission. Ils proposent notamment de revenir sur ce délai de 24 heures. Alors que la député Gisèle Lelouis (Rassemblement national) propose d’octroyer 48 heures aux victimes pour déposer une préplainte, les députés Eric Bothorel (Renaissance), Anne Le Hénanff (Horiz ons) et Philippe Latombe (Modem) veulent aussi doubler ce te mps après la constatation «de l’atteinte» ou «de l’infraction». Alors que Jean-Félix Acquaviva (Lib ertés, Indépendants, Outre-mer et T erritoires) propose d’aller jusqu’à 72 heures, on défend, plus à gauche de l’hémicycle, des délais encore plus rallongés, à l’image de Davy Rimane (Gauche dé mocrate et républicaine), qui défend un délai de 15 jours. «Si l’objectif, compréhensible, est de pe rmettre aux enquêteurs de se saisir du dossier, il ne sert à rien d’imposer un délai aux entreprises victimes», écrit même Sandra Regol (Ecolog istes), qui a aussi présenté un amendement de repli av ec un délai d’une semaine. Vers une remise en question de la d octrine française ? Le plus intéressant ne réside pas d ans ces temporalités mais dans les amendements visant à améliorer le dispositif. Outre le partage du délai, les trois députés membr es de groupes constituant la majorité présidentielle ne veulent pas restreindre la loi au paiement d’ une rançon. «Mentionner explicitement les rançons dans le te xte de loi est contre-productif et con traire à cet objectif d’intérêt L’assurance cyber s’ouvre aux débats à l’Assemblée nationale - L'AGEFI h ttps://www.agefi.fr/banque-assurance/a ctualites/quotidien/20221102/... 1 sur 2 02/11/2022, 09:58 Le casse-tête de l'assurance cyber reste entier Par Laurent BARTHELEMY jeudi 13 octobre 2022 16:15 507 mots - 2 min TECHNOLOGIES-INFORMATIQUE-ASSURANCES-CYBERSÉCURITÉ Monaco, 13 oct 2022 (AFP) - Inflation des primes et couver‐ tures en baisse: compagnies d'assurance et entreprises peinent à trouver le bon équilibre pour assurer un risque cyber en pleine explosion du nombre d'attaques par rançongiciel. Lorsque la SNCF a commencé en 2017 à se protéger contre ce risque, "les assureurs faisaient la danse du ventre" pour décrocher le marché mais, "maintenant, c'est moi", a expliqué Gilles Berthe‐ lot, directeur de la sécurité numérique du groupe ferroviaire, lors d'une table-ronde aux Assises de la cybersécurité de Monaco. "Aujourd'hui, on a l'impression de payer plus pour être toujours moins couverts", avec des "primes et des franchises qui aug‐ mentent" et des "couvertures maximales qui baissent", a-t-il souli‐ gné. Or, une attaque par rançongiciel peut coûter très cher. "Pour un groupe comme la SNCF, même à 100 millions d'euros de couver‐ ture, on est en dessous de ce que serait un sinistre" si un rançongi‐ ciel se répandait dans l'entreprise. "300-400 millions" pourrait être un coût "réaliste", a-t-il évalué. Joël Mollo, vice-président France de la société américaine de cyber‐ sécurité Cybereason, confirme le très net durcissement des condi‐ tions d'assurance. Lors d'une table-ronde professionnelle cette se‐ maine, les entreprises témoignaient "d'augmentations de 30% mini‐ mum de leurs primes", a-t-il rapporté à l'AFP. - Equation difficile - "Et toutes les assurances ont incorporé une franchise" pour les dé‐ gâts causés par un logiciel malveillant, "voire une exclusion" de la couverture pour ceux causés par un rançongiciel, a-t-il ajouté. Mais pour les assureurs, l'équation est difficile. "En 2020, le mar‐ ché de l'assurance cyber a perdu beaucoup d'argent en France", avec des indemnisations très largement supérieures aux primes versées et essentiellement dirigées vers de grands groupes touchés par des attaques spectaculaires, a rappelé Philippe Cotelle, admi‐ nistrateur de l'Amrae, une association française de gestionnaires de risques. 1 En 2021, le marché des grandes entreprises est redevenu rentable mais celui des entreprises de tail le intermédiaire (ETI) s'est spect a‐ culairement dégradé, avec des i ndemnisations versées 2,5 fois s u‐ périeures aux primes récoltées, s elon les chiffres de l'Amrae. Les solutions ne sont pas faciles à trouver car les assureurs sont dos au mur, avec un marché de l a réassurance (l'assurance des a s‐ sureurs) peu friand de couverture contre la menace cyber. Pour Sébastien Héon, du réassur eur Scor, l'une des pistes à creus er pourrait être de séparer le risqu e cyber ordinaire du risque cybe r majeur, sur le modèle de l'assura nce dommages qui prévoit un mé ‐ canisme différent pour les sinistres usuels et les catastrophes natu‐ relles. Les grandes entreprises peuven t aussi avoir intérêt à développer des "captives", une sorte d'assu rance interne entre divisions d'u n même groupe, pour pouvoir "co uvrir ce qui n'est pas couvert p ar les assureurs, notamment les fra nchises", a suggéré Gilles Berthe ‐ lot. D'autres créent des mutuelles po ur gérer une partie du risque cy ‐ ber, à l'image de ce qui a pu être fait autrefois pour le risque incen‐ die. En tout cas, il est capital "de d évelopper au sein des ETI et de s PME une meilleure sensibili sation à la prévention, et à l'identification des risques", pour diminue r la sinistralité, a réclamé M. Cotelle. lby/mch/tmt SCOR SE Tous droits réservés © 2022 AFP 8d74d56583a5498cb0de94b0a60c11cc 0fc956X5f01bF99c544 a716 Parution : Continue 2 ÉTAT DU MARCHÉ CYBER CLIMAT

RkJQdWJsaXNoZXIy MTY5MDI1MA==