Cyber assurance : les prix ont connu une hausse de 32 % en un an

Avec la crise de Covid-19, le nombre de cyberattaques a explosé... Comme le prix des assurances cyber risques. D'après le courtier Howden, les tarifs des contrats d'assurance cyber ont grimpé de 30 % en un an. Sont plus particulièrement en cause les ransomwares ou « rançongiciels », des logiciels prenant en otage les données, permettant aux hackers d'exiger une rançon en échange de leur « libération ».

Une hausse de 32 % en raison de la recrudescence des ransomwares

Depuis un an, s'assurer contre les risques cyber est de plus en plus onéreux. Howden, réseau de courtage à échelle internationale et présent dans 35 pays a mené une enquête pour chiffrer la hausse des prix. Ainsi, de juin 2020 à juin 2021, l'index des prix des contrats d'assurance cyber risques a augmenté de 32 %, soit près d'un tiers.

Mais comment expliquer une telle hausse ? Pour le courtier, elle proviendrait principalement des ransomwares. En effet, leur prolifération est massive : le nombre d'attaques a augmenté de 170 % en deux ans, le coût moyen de ces attaques pour les entreprises de 145 % et le paiement moyen de la rançon aux États-Unis a connu une inflation de 405 % en deux ans et demi.

Rappelons que de son côté, l'ANSSI (Agence nationale de la sécurité des systèmes d'information), avait pointé dans un rapport publié en début d'année 2021 qu'entre 2019 et 2020, les signalements de ransomwares avaient augmenté de 255 % (192 attaques ont été recensées au total). Et au-delà de leur recrudescence, c'est leur élaboration qui avait inquiété l'Agence : ils sont de plus en plus sophistiqués et prennent pour cible des entreprises et institutions de plus en plus importantes.

L'assurance cyber, un produit difficile à tenir pour les assureurs

Pour se protéger contre les cyber attaques, l'option la plus simple reste de se diriger vers un assureur proposant des couvertures contre ce risque... Sauf qu'en pratique et en dehors des hausses de coût, la tâche n'est guère aisée. Le cyber risque est difficile à estimer et les assureurs ont du mal à trouver un équilibre entre le montant des primes et la couverture du risque.

Le manque de recul est à mettre en cause : « Le problème est que l'assurance se bâtit habituellement sur le passé, expliquait Frédéric Chaplain, Directeur IARD de Verlingue, un courtier en assurances spécialisé dans la protection des entreprises lors d'une interview pour Assurland.com. Les risques « traditionnels » sont évalués et modélisés en fonction de ceux qui sont intervenus par le passé. Il s’'git presque toujours de modèles rétrospectifs. Or, pour le cyber, qui est un risque relativement nouveau, ce recours au passé n'est pas possible. Il faut donc que nous retournions le rétroviseur et que nous regardions devant, ce qui est très compliqué. »

Ainsi, certains acteurs de l'assurance ont préféré suspendre leurs contrats incluant une couverture contre les attaques par ransomware. C'est notamment le cas d'AXA. De surcroît, il semblerait que les hackers aiment attaquer des entreprises assurées, car leurs chances d'être payé pour la rançon est plus grande, les assureurs étant souvent peu vertueux et préférant régler la somme demandée. Par conséquent, ils deviennent plus exigeants avec les entreprises à assurer en termes de politique de cybersécurité. Howden mentionne notamment des exercices de crise, le recours à des solutions de Threat Intelligence et des outils forensics.