Cyberassurances : Face aux ransomwares, les prix augmentent et les professionnels s'inquiètent

VU AILLEURS Face à la montée des cyberattaques par ransomwares, plusieurs assureurs revoient à la hausse les tarifs de leurs offres pour s'aligner sur l'importance du risque. D'autres se refusent tout simplement à intégrer les demandes de rançon à leur couverture. Alors que le risque est de plus en plus conséquent, les experts du secteur peinent à trouver un consensus.

SABRINA FEKIH | PUBLIÉ LE 25 AOÛT 2021 À 16H45 source : Usine Digitale

ASSURANCE,  CYBERSÉCURITÉ,  INFORMATIQUE

Alors que les cyberattaques par ransomwares explosent, les tarifs des cyberassurances ont fait un bond considérable. Les groupes d'assureurs se montrent également très frileux à l'idée de couvrir ces nouvelles menaces qui peuvent s'avérer très coûteuses.

Récemment, le directeur général d'AIG (American International Group) a déclaré que les tarifs en cyberassurance avaient augmenté de 40 % pour ses clients rapporte CyberScoop. Même son de cloche du côté du directeur général du consortium d'assurance Chubb, anciennement ACE limited, qui indique que la compagnie facture davantage aux souscripteurs d'un contrat, sans préciser le degré de la hausse.

UNE HAUSSE PROVOQUÉE PAR L'AUGMENTATION DU RISQUE

La cyberassurance couvre une série de coûts liés aux ransomwares, comme les demandes d'extorsion, les efforts de remédiation et d'autres pertes. Ces hausses de prix traduisent la façon dont l'évolution des ransomwares a radicalement modifié le paysage de la cyberassurance, selon les analystes du secteur. Les ransomwares représentent 

désormais 75 % de toutes les demandes de cyberassurance, contre 55 % en 2016, selon l'agence de notation AM Best. Le pourcentage d'augmentation des sinistres dépasse celui des primes, indique un rapport de juin qui conclut que "les perspectives du marché de la cyberassurance sont sombres." En avril, Fitch Ratings a constaté que le rapport entre les pertes et les primes acquises s'élevait à 73 % l'année dernière, ce qui met en péril la rentabilité du secteur.

Pourtant, le taux d'adhésion continue de grimper. Face à la menace, de nombreux clients optent pour une couverture cybernétique entraînant une hausse de la demande de 46 % en 2020, selon le Government Accountability Office. Selon plusieurs observateurs, si les assureurs augmentent les frais, c’est en grande partie parce que le risque est plus 

conséquent.

LES ENTREPRISES ASSURÉES PRISES POUR CIBLE
"Les tarifs augmentent considérablement à mesure que les attaques par ransomware se multiplient". Une commission scolaire de Caroline du Nord a récemment réglé pour une année d'assurance responsabilité civile cybernétique, un montant de 22 318 dollars contre 6 653 dollars l'année précédente, soit un bond de 235 %.

Pour certains experts, ce sont les assureurs eux-mêmes qui sont à l'origine de cette montée du risque et de la hausse des tarifs qui en découle. "Dans de trop nombreux cas, le modèle d'assurance incite à payer les criminels au lieu de mettre en place une bonne sécurité au préalable", a déclaré il y a quelques semaines le think tank américain, Brookings Institution. Un constat confirmé par un représentant du groupe de hackers REvil, à l'origine notamment de l'attaque du géant JBS ou plus récemment du logiciel VSA, édité par l'entreprise Kaseya. À en croire ce dernier, les entreprises ayant souscrit à une cyberassurance sont visées en priorité, car elles représentent "les morceaux les plus savoureux".

DES STRATÉGIES DIFFÉRENTES D'UN GROUPE À L'AUTRE
Les assureurs quant à eux semblent divisés sur la question. D'une part, certains groupes proposent des assurances qui incluent les demandes de rançons, mais se retrouvent à débourser de trop grosses sommes en cas d'attaque. D'autres proposent des franchises plus élevées pour se protéger du risque. Enfin, certains, à l'image du groupe Axa en France qui a opté pour la suspension des garanties "cyber rançonnage", choisissent tout simplement de ne pas inclure les ransomwares dans leurs offres.

Une stratégie qui pourrait connaître un certain succès, s'inquiète Michael Phillips, responsable des sinistres pour l'insurtech Resilience. À termes, "les assureurs risquent également de considérer que davantage d'assurés sont à risque et refuser de leur fournir une couverture", indique-t-il. Une situation qui pourrait nuire aux petites entreprises qui n'ont pas les moyens financiers de s'équiper en technologie de sécurité, déplore le responsable.

Selon une étude de l'Association pour le management des risques et des assurances de l'entreprise l'écart est déjà creusé. Tandis que 87 % des grands groupes sont protégés, seules 8 % des ETI ont souscrit à une assurance cyber. Pour pallier ce fossé, le groupe de réflexion Royal United Services Institute du Royaume-Uni, recommande une plus grande intervention des gouvernements, en suggérant par exemple que les assureurs collaborent avec le gouvernement pour rédiger des normes de sécurité minimales qui seraient incluses dans toute couverture contre les ransomwares, ou que le gouvernement fournisse aux assureurs des données sur les notifications de violation.

SABRINA FEKIH