Entretien avec Astrid-Marie Pirson sur l’évolution du marché de la cyber assurance
Entretien réalisé avec Astrid-Marie Pirson, Directrice technique de la souscription chez Hiscox France, par Paul Perney et Quentin Pichon, étudiants au sein du Master 2 Entreprises, Marchés, Régulations de l’Ecole de Droit de Sciences Po
Pouvez-vous vous présenter et présenter l’entreprise dans laquelle vous travaillez ?
Je suis directrice technique de la souscription chez Hiscox France. Cette entité a été créée il y a 20 ans, mais elle existe depuis bien plus longtemps que cela au Royaume-Uni en tant qu’émanation du Lloyd’s, plus vieille compagnie d’assurance au monde. J’y travaille depuis 8 ans et avant je pratiquais en tant qu’avocat essentiellement au Conseil d’Etat et à la Cour de cassation. J’ai d’abord rejoint Hiscox en 2011 au service sinistre essentiellement en charge de la responsabilité civile des métiers de l’informatique et des premières ébauches de cyber, puis j’ai rejoint la direction technique il y a trois ans environ.
Pour mettre un petit peu de contexte, la direction technique d’une compagnie d’assurance a quatre types de mission : une première mission qui est de construire les offres sur la base des besoins du marché, c’est-à-dire rédiger les polices, fixer les “appétits de souscription”, les tarifs et les règles que le souscripteur doit respecter. La deuxième mission consiste en la formation des souscripteurs sur les produits afin de leur faire bénéficier d’une autonomie de souscription, elle comprend également la formation de nos partenaires distributeurs. La troisième mission est une mission de prise de parole à l’extérieur sur l’expertise que l’on a de certains produits. La quatrième mission est une mission de pilotage de portefeuille, de suivi de croissance et de profitabilité et de contrôle des risques.
Nous avons relevé sur le site d’Hiscox France que vous proposez un “Contrat Cyberclear”. Quels types de couverture offrez-vous en termes d’assurance cyber chez Hiscox France ?
Dans un contrat d’assurance cyber, il y a quatre piliers principaux. Il y a d’abord un volet assistance qui est incontournable. Quand les assurés sont confrontés à un incident de type cyber, ils ne savent pas comment réagir. Ce volet a donc pour objet de mettre autour de la table les bons experts pour faire face à l’incident (avocats, agences de communication, etc.) et il s’agit également pour nous de prendre en charge leurs honoraires.
Un second volet consiste à protéger la société des dommages qu’elle peut subir à la suite d’un incident cyber. Il peut s’agir des pertes d’exploitation du fait d’une attaque du système d’information de la société ou d’un de ses prestataires de service ou d’un dysfonctionnement. Cela inclut également tout ce qui relève de la violation de données qui appartiennent à l’entreprise tel que les coûts de récupération ou de reconstitution des données. Enfin, ce volet comprend la cyber extorsion avec sa forme la plus connue dénommée le “ransomware”: il s’agit d’un logiciel qui vient crypter votre ordinateur et qui impose à la société victime le paiement d’une rançon pour obtenir la clé de déchiffrement. Cela a été la tendance majoritaire de la cyber criminalité ces dernières années.
Le troisième pilier correspond aux dommages causés à des tiers du fait d’un incident survenu dans l’entreprise. Cela couvre notamment la violation de données personnelles avec les frais de notification ou les réclamations des tiers. Ces dommages aux tiers peuvent prendre différentes autres formes comme la violation de données confidentielles sur une cession en cours par exemple, la transmission de virus, ou encore le fait de conduire une attaque contre un tiers en utilisant le système informatique de l’assuré. Ce pilier comprend également la protection de l’existence digitale de l’entreprise sur son site ou sur les réseaux sociaux afin de limiter les réclamations à l’encontre de l’entreprise du fait d’un défacement par exemple.
Enfin, le quatrième pilier correspond aux cas d’enquêtes administratives. Il comprend la couverture, en cas d’enquête de la CNIL ou d’autorités de régulation ayant la même mission, des frais de défense et des amendes quand elles sont assurables. On ne sait pas encore avec certitude si elles le sont en France ; c’est un énorme point d’interrogation.
Concernant l’assurance d’enquête administrative, nous nous étions interrogés sur la notion de faute intentionnelle de l’assuré. Face à un simple manquement formel – par exemple à l’article 5 du RGPD quand le responsable du traitement ne met pas en œuvre des mesures suffisantes permettant d’assurer la sécurité des données – dans quelle mesure pouvez-vous déjà interpréter ce type de situation en termes d’assurabilité ?
Ce qui est certain, c’est que si vous avez une faute intentionnelle dans l’équation, nous n’allons pas l’assurer. En effet, cela s’apparente presque à une intention assimilable à l’élément moral d’une infraction pénale. La grande difficulté, c’est que démontrer une intention ou une absence d’intention n’est pas simple. Je ne sais vraiment pas qui sera le premier assureur à prendre le risque d’aller jusqu’à la Cour de cassation pour obtenir une position sur le sujet. La FFA (Fédération Française des Assurances) a posé la question à la CNIL qui ne se prononce pas. Toutefois, ce qui est intéressant dans la manière dont la CNIL motive ses décisions. Par exemple, dans la sanction qu’elle a prononcée contre Google, il était indiqué qu’elle reprochait à Google d’avoir sciemment manqué à ses obligations. Parfois, elle sanctionne à cause de l’ampleur des dégâts commis mais pas à cause de l’intention de les commettre. Par conséquent, on ne peut qu’étudier les motivations des décisions prononcées sur d’autres typologies d’assurances et essayer de dupliquer un raisonnement.
Vous aviez brièvement mentionné les types d’assistance et d’accompagnement qu’une compagnie d’assurance peut mettre en place au sein d’une assurance cyber. Nous avons relevé l’existence d’une proximité entre certaines compagnies d’assurance et des entreprises spécialisées en cyber-sécurité. Que pensez-vous du service de cyber-sécurité comme marqueur de différenciation ?
En cyber, bien plus que sur les autres lignes d’assurance, il est en réalité souvent plus important d’offrir du service que d’offrir un chèque. La complexité de la matière implique de faire appel à des experts qui savent comprendre et qui savent expliquer, en amont au moment de la souscription si c’est possible, et en aval lors de l’incident, pour éviter que l’entreprise ne se débrouille seule.
Par exemple, dans le cas d’un ransomware qui affecte l’ordinateur d’un employé d’une petite entreprise, comment voulez-vous qu’il sache s’il faut débrancher l’ordinateur du réseau ou le laisser allumé? C’est quasiment impossible, d’où la nécessité d’entourer l’assuré avec un expert qui pourra lui dire de ne pas l’éteindre. Dans tous les cas, chez Hiscox, on va couvrir le paiement des rançons et les frais des experts. Mais, la valeur ajoutée va résider dans l’accompagnement heure par heure en cas d’incident. Il faut d’abord identifier que c’est un ransomware, puis arrêter la propagation en mettant en place des mesures d’urgence. Si jamais il n’y a pas de sauvegarde, il faut alors payer la rançon dont le paiement est souvent demandé en bitcoin. Or, la plupart des entreprises ne savent pas comment acheter des bitcoins ou comment les récupérer. Le cyber-risque est vraiment un territoire inconnu pour une entreprise.
L’année dernière, il y a eu une progression considérable des cyber attaques. Avez-vous la capacité d’anticiper l’augmentation annuelle du nombre de cyberattaques sur votre portefeuille et d’en déduire le pricing de vos polices ?
Les données disponibles grâce aux acteurs de la sécurité informatique nous aident à anticiper et à faire évoluer nos produits. Néanmoins, le problème principal, c’est qu’il est impossible pour une compagnie d’assurance d’augmenter ses prix du fait d’anticipations concernant une évolution potentielle de la sinistralité. Une prime d’assurance est plutôt réactive que proactive. Aujourd’hui, les taux des assurances cyber diminuent structurellement depuis cinq ans de manière vertigineuse, non seulement du fait de l’environnement fortement concurrentiel, mais aussi car le gros des sinistres n’est probablement pas encore arrivé.
Une majorité de dirigeants ne connaissent pas l’existence de la cyber assurance ou ont l’impression qu’ils ne sont pas ou peu exposés, notamment dans les PME et, les TPE. Etes-vous favorable à la mise en œuvre d’une vulgarisation de ce marché ?
Le fait de faire prendre conscience aux entreprises des risques qu’elles courent me paraît tout à fait positif indépendamment de la manière dont on le fait. Par ailleurs, du point de vue de l’actionnaire qui constate que le dirigeant n’a pas adopté de solution d’assurance en cas de cyber incident, il serait sans doute possible d’engager la responsabilité du dirigeant dont l’absence de précautions s’assimile à une faute de gestion.
L’EIOPA a contacté l’année dernière de nombreux assureurs pour publier une étude permettant de mieux comprendre le marché de la cyber assurance. Le régulateur peut-il être un vecteur de diffusion de cette vulgarisation ou considérez-vous que c’est une forme d’ingérence ?
Je suis d’accord avec l’idée d’un régulateur au service de la vulgarisation. Pour autant, je pense qu’il n’est pas souhaitable actuellement d’en faire une assurance obligatoire car cela conduirait les entreprises à s’assurer sans gérer leurs risques correctement, ce qui est mauvais pour l’assureur et pour les assurés. Les sinistres augmenteraient ainsi que les primes en conséquence, ce qui serait négatif pour tout le monde.
Avez-vous constaté une augmentation des demandes d’offres à la suite de l’entrée en vigueur du RGPD? Quel est l’impact concret du RGPD sur les risques auxquels font face les entreprises ?
Alors, il y a effectivement une augmentation des demandes d’offres, mais pas juste à cause de l’entrée en vigueur du RGPD. J’ai eu l’occasion de participer à de nombreuses conférences sur les risques cyber et jusqu’à trois mois avant l’entrée en vigueur du RGPD, soit début 2018, je rencontrais encore des chefs d’entreprise qui ne s’estimaient pas concernés par le RGPD en raison de la taille de leur activité. Les demandes d’offre ont augmenté de par la sensibilisation apportée par le RGPD. En effet, l’assurance fait partie de la prise en considération du risque cyber. Une entreprise qui s’est assurée et qui fait face à un incident qu’elle notifie au régulateur tout en lui expliquant qu’elle travaille sur le problème avec son assureur a assez peu de chances de subir une sanction. La vertu de s’assurer est également de rassurer, que ce soit le régulateur, les clients, les fournisseurs, les clients…
Le RGPD n’a pas conduit à changer les garanties des polices. Ce qui est demandé par le RGPD était déjà couvert, même si c’était plus limité, comme pour l’obligation de notifier qui était jusqu’alors limitée aux opérateurs de télécommunications. Ce qui est certain, c’est que l’obligation de notifier au régulateur implique une augmentation du risque de faire face à une enquête et à une éventuelle sanction. Par ailleurs, l’obligation de notifier les individus, en cas de grosse violation des données, entraîne un risque accru de réclamations ultérieures et donc potentiellement plus de sinistres.
En termes de fréquence, de visibilité et de réputation pour les entreprises, le RGPD entraîne une visibilité colossale sur un sujet qu’elles maîtrisent mal. Je pense que le régulateur comme les individus seront attentifs au fait que des efforts ont été faits dans la bonne direction, même si ce n’est pas parfait. A ce sujet, la CNIL a eu un discours assez rassurant face aux entreprises qui n’étaient pas très sereines. A mon sens, c’est principalement en termes de visibilité du sujet et des incidents que le RGPD a un impact important.
Il semble qu’une grande partie des entreprises ne sont pas en conformité avec le RGPD. Quelle est votre opinion concernant la possibilité d’assurer ces entreprises ? Qu’est-ce qui est concrètement demandé aux assurés ? Quelles sont les clauses d’exclusion des polices ?
On demande des informations aux entreprises, mais on n’impose rien. Nous pouvons assurer une entreprise qui est en retard sur le sujet mais qui est en train de développer sa sécurité et prendre le risque de l’assurer pour six mois par exemple. Il n’est pas possible d’imposer la conformité au RGPD pour assurer une entreprise car tout d’abord 90% du marché n’est pas conforme au RGPD, il faut donc être pragmatique, et ensuite parce que le RGPD est assez subjectif. Le principe d’accountability impose de s’assurer que les données sont collectées et traitées de manière sécurisée en protégeant les intérêts des individus de manière cohérente avec l’activité professionnelle. Il n’y a rien d’objectif dans cette description. Il est donc impossible de demander la conformité au RGPD.Il est possible de poser des questions techniques sur la présence d’un antivirus ou d’un firewall par exemple. Mais dans tous les cas si les employés ne sont pas formés, ils vont faire des erreurs et cela ne changera rien. Il y a donc des limites aux questions techniques. Les premiers questionnaires d’assurance contenaient beaucoup de questions, mais les gens qui remplissent les questionnaires n’ont pas toujours accès à l’information et la réponse fournie n’est pas forcément fiable. Nous avons aujourd’hui une approche différente, pour le bas de segment, qui consiste à formuler des hypothèses à partir de notre expérience et de données externes selon la taille des entreprises assurées. Nous allons par exemple considérer que des entreprises de petite taille ont des dispositifs de sécurité de base fournis avec les systèmes d’exploitation. Pour les entreprises qui font plusieurs milliards de chiffre d’affaires, c’est différent. En effet, il y a beaucoup plus de personnes susceptibles de fournir des informations fiables comme le DAF, le directeur juridique, le DSI, le RSSI.
Il semble que les assurances cyber proposent souvent la mise à disposition d’une assistance à l’entreprise pour la communication avec son guichet unique (la CNIL) en cas de violation des données. Est-il également possible de prévoir une assistance similaire pour les notifications aux personnes physiques en cas de risque élevé ?
La notification aux personnes physiques fait partie, au même titre que la notification au régulateur, des services offerts par nos polices d’assurance. On ne sait pas s’il faut envoyer un recommandé pour les notifications aux personnes physiques. Le règlement dit seulement qu’il faut notifier et apporter la preuve de la notification. Un mail avec accusé de réception pourrait être suffisant : il y a un flou sur ce point.
Quelles sont les perspectives d’évolution du marché de la cyber-assurance suite à l’entrée en vigueur du RGPD et face à l’exposition croissante aux risques de cyber-criminalité ?
Sur les deux dernières années, le RGPD a donné de la visibilité au sujet en renforçant la responsabilité des entreprises envers le régulateur et envers les tiers. Par ailleurs, un nombre croissant d’incidents concernant les données de l’entreprise et sa capacité à poursuivre son activité, voire à survivre, en cas d’incident, se produisent. Les polices cyber couvrent ces deux volets du risque et devraient donc être considérées de manière croissante par les entreprises comme un outil de protection indispensable, car les montants en jeu et l’expertise requise sont des choses qu’elles ne peuvent pas supporter seules. Le principal vecteur de progression du marché de la cyber assurance reste l’augmentation des incidents. Beaucoup d’entreprises s’assurent après avoir fait face à des incidents.
Avez-vous un message à transmettre à nos lecteurs pour les inciter à découvrir ce secteur en pleine croissance et notamment sur l’intérêt d’y travailler en tant que juriste ? Quelle est la plus-value apportée ?
Personne ne grandit en rêvant de faire de l’assurance, mais c’est un domaine génial car il repose avant tout sur la prise de risques : un assureur passe son temps à faire des paris. C’est aussi un secteur qui se porte très bien financièrement et où on fait plein de métiers différents. Chez Hiscox par exemple, une majorité du service sinistre est composée d’anciens avocats, et la gestion de sinistres, quand on vient de cette profession, est une expérience extrêmement enrichissante.
Quant au cyber, c’est un domaine dans lequel on rencontre beaucoup de gens, c’est un secteur en ébullition qui bouge sans arrêt et qui oblige à s’adapter en permanence et donc à apprendre continuellement. Il faut parler avec des juristes, des informaticiens, des DG, sur des sujets transverses qui concernent l’actif aujourd’hui le plus précieux des entreprises : les données. C’est passionnant pour les gens qui ont de l’appétence pour l’informatique et les sujets numériques. Ces nouveaux risques nous poussent vers des approches plus disruptives, pour repenser des choses que l’on fait depuis longtemps.