Comment tirer le meilleur parti de l’assurance dans un contexte de numérisation intensive ?

L’assurance ne résiste pas à l’engouement cyber

       À la demande de leurs clients mais aussi parce qu’ils y voyaient une opportunité de croissance, les assureurs, partenaires historiques du développement et de la résilience des entreprises, ont commencé à réfléchir puis à proposer des solutions indemnitaires. Un marché de l’assurance des risques cyber est donc né, d’abord aux États-Unis à partir des années 2000 et plus récemment, en Europe continentale et notamment en France. Ainsi en 2016, les primes collectées sur le marché mondial de l’assurance des risques cyber représentaient environ 3 milliards de dollars. Rapporté au total de l’assurance non-vie (1300 milliards de dollars de primes collectées en 2016), cela en fait un marché de taille relativement modeste. L’assurance n’est toutefois pas épargnée par l’agitation qui règne autour du cyber et, au-delà de la multiplication des attaques, plusieurs éléments viennent corroborer l’hypothèse selon laquelle le marché pourrait connaître une croissance substantielle dans les années à venir. Au premier rang, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, un texte européen qui précise les responsabilités de toutes les entreprises qui détiennent ou manipulent des données à caractère personnel et fait peser sur les coupables de défauts de traitement la menace d’amendes pouvant s’élever à 4% de leur chiffre d’affaires mondial, ou 20 millions d’euros, en sus des éventuelles réparations qui pourraient également atteindre des montants considérables puisque la porte serait ouverte à des actions collectives.

Un objet aux origines lointaines

       L’histoire fait remonter la naissance de mécanismes de mutualisation des risques à la haute antiquité, au moment où des commerçants étaient exposés à l’éventualité du pillage de leurs caravanes. Ces modèles d’assurance restaient archaïques et l’essor de l’assurance dans une forme proche de celle qu’on lui connaît aujourd’hui se serait produit avec le développement du commerce maritime sous les Grecs, naturellement exposé au risque de naufrage des navires marchands et avec lui, de la perte de cargaisons entières. Depuis, restant fidèle à ses principes fondateurs mais sans cesse contrainte de se réinventer, l’assurance a permis de libérer l’énergie de marchands, de travailleurs, d’innovateurs et d’industriels, ouvrant la voie à des réalisations totalement inédites. Henri Ford alla même jusqu’à dire : « New York n’est pas la création des hommes, mais celle des assureurs ». Cependant, et c’est assez habituel avec l’assurance, la matérialisation des risques et les premiers sinistres précèdent l’émergence du marché d’assurance correspondant. Le calcul du coût des prestations d’assurance repose en effet sur des bases actuarielles : c’est à la lumière de l’historique des pertes passées que l’exposition future est estimée, ce qui permet à l’apporteur de couverture de déterminer le niveau des primes qu’il doit collecter auprès des demandeurs. Cette précision est utile quand on constate que la conscience de la menace cyber est bien établie alors que le niveau de couverture assurantielle est susceptible de progrès significatifs.

L’assuré et un tiers à l’assuré : dommages et responsabilité

     On distingue classiquement deux types de lignes d’assurance. Les assurances de personnes couvrent les atteintes à la vie et à la santé de l’assuré. Les bénéficiaires en sont l’assuré ou des tiers qu’il a désignés a priori. Les assurances de biens et de responsabilités quant à elles couvrent les dommages aux biens matériels et immatériels de l’assuré ainsi que les dommages, éventuellement corporels, causés à des tiers du fait de l’assuré. Des exemples simples de risques dont les conséquences peuvent être couvertes par des polices d’assurance sont l’incendie, le dégât des eaux, l’accident automobile, le bris de machine. Dans ce mémoire, les assurés seront surtout des entreprises, de sorte que les dommages subis directement par ces dernières occuperont une place importante et que les seules atteintes à la vie ou à la santé couvertes seront celles causées aux tiers à l’entreprise du fait de la poursuite de sa raison sociale. Un assuré ne choisira habituellement de souscrire une police d’assurance couvrant les dommages qu’il cause à autrui que s’il en tenu responsable par la loi et que cette dernière exige qu’il en prenne en charge la réparation. Le droit de la responsabilité contribue donc à délimiter le champ des possibles pour les polices d’assurance. Au gré de la judiciarisation et de la contractualisation croissante des relations entre agents économiques, plus récemment, des contrats couvrant la responsabilité des dirigeants d’entreprises, ou la responsabilité du fait de leurs produits ou en cas d’erreur, d’omission ou de défaut de service, sont venus enrichir le panel des couvertures offertes. Les dommages couverts ne sont donc pas nécessairement matériels ou corporels mais peuvent être immatériels, de nature financière (une perte de marge du fait d’une interruption d’activité) ou plus abstraite (un préjudice moral, auquel cas l’indemnisation sera le plus souvent de nature financière). On distingue classiquement les dommages immatériels selon qu’ils sont consécutifs ou non à un sinistre matériel ou corporel.

Des acteurs-clés du marché de l’assurance : courtiers et réassureurs

       En plus des compagnies d’assurance, le marché fait intervenir d’autres acteurs. Les courtiers jouent un rôle important dans la stimulation de la compétition entre les assureurs. Ils sont mandatés pour chercher dans le marché d’assurance une couverture définie par un agent qui cherche à s’assurer au meilleur prix. Sa plusvalue provient de ses contacts multiples avec les assureurs dont découle son pouvoir de négociation et de son apparente neutralité face à la survenance des sinistres, en ce qu’il ne porte en théorie aucune exposition en propre. Dans la réalité, le courtier joue également le rôle de conseil, offrant à son client un support pour la caractérisation des risques auxquels il est exposé et la définition de la couverture adéquate. Compte tenu de son implantation, une compagnie d’assurance peut détenir un portefeuille de risques dont le niveau de corrélation est élevé, mais pourrait être acceptable dans un groupe de mutualisation géographiquement plus large. Dans d’autres cas elle ne dispose pas des compétences pour traiter un risque sur le plan technique, par exemple si un sinistre est susceptible de toucher une proportion nonnégligeable d’assurés avec des conséquences sur la solvabilité de l’assureur. Dans les situations précédentes, des opportunités de diversification existent mais l’assureur ne peut pas les exploiter à un coût commercial ou d’ingénierie acceptable. Il s’agit par exemple des risques rares ou catastrophiques, comme les risques naturels. Un marché secondaire visant à exploiter des compétences techniques spécifiques ou à créer des bases de mutualisation plus larges possède dès lors tout son intérêt : il s’agit du marché de la réassurance, sur lequel les assureurs transfèrent à leur tour une partie de leur portefeuille. Les modalités de réassurance sont multiples mais schématiquement, dans les traités qui les lient aux réassureurs, les assureurs peuvent choisir de leur faire supporter une part proportionnelle ou contenue dans une tranche bien définie de leurs prestations.

Cyberdépendance à tous les étages

        Ces quelques exemples démontrent le point auquel les entreprises ont accru leur dépendance aux systèmes d’information. D’une part ils sont indispensables aux opérations internes : acquisition, conservation, exploitation des données, communication entre les employés mais également contrôle et asservissement des systèmes de production pour les entreprises concernées. D’autre part, ils contribuent à créer des interfaces entre l’entreprise et les acteurs dont son avenir dépend : clients dont particuliers, fournisseurs, mais aussi médias, concurrents ou institutions, dont les états. Du point de vue de l’assurance, il est utile de souligner trois conséquences de cette dépendance. La première tient au degré d’interconnexion des acteurs économiques, qui au passage a permis le partage de la valeur sur des chaînes d’une longueur et d’une complexité toujours croissantes. Les entreprises dépendent aujourd’hui des flux d’information qu’elles échangent, de manière standardisée et en utilisant des solutions proposées par un nombre restreint de fournisseurs. Cette standardisation implique qu’un dysfonctionnement, d’origine malveillante ou non, peut toucher directement et identiquement un nombre important d’acteurs. L’interconnexion implique quant à elle que l’incapacité d’un acteur à disposer pleinement de ses moyens peut avoir des conséquences sur les nombreux autres agents qui dépendent de lui. Aux yeux de l’assureur, le risque cyber possède donc dans certaines de ses manifestations tous les attributs d’un risque systémique : un sinistre pourra donner lieu à des indemnisations simultanées chez un nombre important d’acteurs, avec un risque pour sa propre solvabilité. La deuxième conséquence est que, manifestement, le système d’information d’une entreprise est un objet dont le périmètre est de plus en plus flou. Les données de l’entreprise sont accessibles à ses employés en tout point du globe grâce à leurs smartphones, le cas échéant, le code informatique qu’elle a mis au point est exécuté dans chacun des produits qu’elle distribue et internet lui offre une vitrine commerciale potentiellement mondiale. Signe d’opportunités économiques décuplées, ce caractère ubiquitaire des systèmes d’information implique également un accroissement du périmètre de responsabilité de l’entreprise, créant une complexité qu’elle peine à gérer. La surface d’attaque n’a plus pour limite que l’imagination des acteurs malveillants, potentiellement extrêmement motivés et dans bien des cas très difficiles à identifier car jouant de mécaniques complexes. Dans certains cas, ces caractéristiques apparaîtront comme autant de limites aux caractères aléatoire et bien défini du risque cyber, et par conséquent à son assurabilité. Enfin, la numérisation massive a provoqué une contraction des échelles de temps à plusieurs égards. D’abord dans le rythme d’échange des informations, venant accroître d’autant l’impact potentiel de leur indisponibilité et des pertes d’exploitation qui s’ensuivent. Ensuite dans la nécessité, une fois survenue, de gérer une crise dans les plus brefs délais car une information erronée ou nuisible à l’image de l’entreprise est susceptible de se propager très rapidement, de même qu’une brèche dans la confidentialité ou l’intégrité de ses données. Nous aurons l’occasion d’insister à nouveau sur cette dimension temporelle du risque cyber quand nous évoquerons la nécessité pour l’assureur d’adapter son offre en vue d’y inclure davantage de services, à la fois de prévention, de gestion de crise et de remédiation.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Introduction
I. Préambule : de quoi parle-t-on ?
Quelques caractéristiques-clés de l’assurance
Quels risques cyber ?
II. Bref état des lieux de l’assurance des risques cyber
La vérité sur les sinistres cyber
Pour quelles solutions assurantielles ?
Et quelle qualité de couverture ?
Des courtiers ardents négociateurs
III. Du concret : scénarios de sinistres
Scénario 1 : PME de vente en ligne
Scénario 2 : PME de services informatiques
Scénario 3 : Entreprise de la grande distribution
Scénario 4 : Port de marchandises
Scénario 5 : Entreprise de médias
Scénario 6 : Banque
Un besoin d’analyse adapté à chaque entreprise
IV. Des entreprises aux besoins variés
À chaque entreprise son profil de risque
Une réponse transversale aux risques de la révolution numérique
L’assurance n’est pas caduque face aux risques cyber !
Mais l’assurance n’est pas la panacée
V. Le rôle de l’assureur dans la révolution numérique
Le pragmatisme des scénarios au service d’un dialogue constructif
Lever une ambiguïté préjudiciable à toutes les parties
L’aide à la gestion de crise, un rôle nouveau pour l’assureur
Une offre « cyber » universelle inadaptée
VI. Les défis posés aux assureurs
La menace du manque de compétence et de données
Réinventer ses méthodes de travail face à un risque nouveau
Anticiper les évolutions du droit de la responsabilité
Réussir sa transformation numérique interne
VII. Le rôle de la puissance publique
Réaffirmons le droit
Un rôle moteur pour le régulateur dans l’assainissement du marché
L’État doit-il se porter garant ?
Un rôle de tiers indépendant : l’État plateforme
Conclusion
Remerciements
Bibliographie
Acronymes

Télécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *