Pour combler le retard français face à la cyber-criminalité, le secteur de l’assurance avec le président de la FFA en tête planche sur l’assurabilité de ces risques aux coûts énormes pour les entreprises victimes. Un Livre blanc devrait voir le jour dans les prochaines semaines.

Combattre les cyber-risques, trop souvent sous-estimés, alors que leurs impacts financiers, opérationnels et même réputationnels sont rarement anodins reste une préoccupation majeure pour les assureurs. Selon le président de la FFA, Bernard Spitz, l’Europe est en décalage avec les Etats-Unis sur le cyber-risque où cette menace est déjà bien identifiée : le marché du cyber-risque aux Etats-Unis est estimé à 2,2 milliards d’euros de primes d’assurances en 2015, contre 30 millions d’euros en France.

L’assurabilité de ce risque est au cœur aussi des préoccupations pour les gérants d’actifs : pour ces derniers, la cybercriminalité est le premier facteur disruptif dans les cinq prochaines années. Des gérants qui s’inquiètent de la menace que représente la cybercriminalité, sans nul doute en raison du grand nombre de cyber-attaques massives survenues récemment.

Face aux menaces concrètes et exponentielles du risque cyber, l’Institut de recherche technologique SystemX, Airbus, l’AMRAE (Association pour le management des risques et des assurances de l’entreprise, la Fédération française de l’assurance (FFA) et la Federation of European Risk Management Associations (FERMA) ont constitué un groupe de travail et de recherche en novembre 2015 pour une meilleure maîtrise de ce risque dans les organisations privées et publiques.

Au-delà d’un travail de recherche et de prospective, ces travaux appliqués, portés par l’IRT SystemX, visent à bâtir des méthodes opérationnelles d’identification et de quantification de l’exposition d’une entreprise au risque cyber. Ils ont également pour objectif d’identifier et de lever les principaux obstacles au transfert de ce risque à l’assurance.

Les retours d’expériences de groupes industriels pionniers et de leurs Risk Managers dans la maîtrise du risque cyber ont permis des avancées significatives en matière de méthode d’analyse du risque.

S’inspirant des travaux du groupe Airbus, assureurs et Risk Managers ont mis en commun leur expertise afin de commencer à bâtir une matrice détaillée d’analyse de risques de faits générateurs « cyber » et de leur couverture d’assurance.

Cette combinaison pourrait devenir une référence en la matière.

La feuille de route 2017 de ce groupe de travail inédit, est d’ores et déjà arrêtée. Elle aboutira, d’ici la fin de l’année, à la publication d’un livre blanc visant à diffuser aussi bien auprès des entreprises que des assureurs, des préconisations opérationnelles de management du risque cyber (identification, quantification, prévention) et des propositions pour améliorer les conditions de transfert de ce risque à l’assurance. Car pour être assuré, le risque doit être assurable : quelles sont les conditions de l’assurabilité du risque cyber ?, quelle définition donne-t-on au risque ?, comment peut-il être quantifié ? Lorsque ces deux dernières conditions sont réunies, le risque cyber devient assurable, « contractualisable ». Les conditions de développement d’un nouveau marché de l'assurance sont alors atteintes. Les professionnels du risque que sont les assureurs vont pouvoir apporter des réponses aux demandes
de couvertures des risk managers.