“You’ve got two very interesting dynamics happening, both at the same time,” explains Lori Bailey, chief insurance officer at Corvus Insurance. “One is a huge increase in claim frequency, which is a result of the ransomware epidemic over the last couple of years.”
La deuxième dynamique est la valeur croissante des réclamations. La rançon moyenne demandée par les cybercriminels au premier semestre 2021 était de 5,3 millions de dollars, en hausse de 518% par rapport au chiffre de 2020, selon la division de recherche Unit42 de Palo Alto Networks. Le paiement moyen a augmenté de 82%, atteignant un record de 570 000 $.
Ces deux dynamiques réduisent la capacité de l'industrie de l'assurance à payer sur les réclamations de ses clients. « les transporteurs, et plus particulièrement les réassureurs, ont vraiment du mal à faire face à cette dynamique sur le marché », explique Bailey.
La capacité d'un assureur à couvrir les risques est limitée par les fonds dont il dispose pour couvrir les coûts d'une réclamation. Dans le cas de la cyber-assurance, ces coûts sont astronomiques, Andrea Rebora, associée en cybersécurité chez PricewaterhouseCoopers et candidate au doctorat au Kings College de Londres. « ils n'ont pas assez d'argent pour tout le monde », dit-il. « le montant nécessaire pour couvrir les clients potentiels est trop élevé. C'est une somme absurde. »
En conséquence, les assureurs augmentent leurs prix de prime et limitent les circonstances dans lesquelles ils paieront. Le marché britannique de l'assurance Lloyds of London a récemment dévoilé de nouvelles règles stipulant que les souscripteurs ne couvriront plus les dommages causés par « la guerre ou une cyber-opération menée au cours de la guerre », y compris les « cyberopérations de représailles entre des États spécifiés ».
Les fournisseurs sont également de plus en plus perspicaces dans qui ils assureront, dit Rebora. « il y a des preuves claires qu'ils augmentent non seulement leurs prix, mais qu'ils peuvent aussi choisir. » Les assureurs exigent des preuves de défenses efficaces en matière de cybersécurité avant d'accepter un nouveau client. « ils veulent tout voir dans les détails de ce qu'un client fait pour protéger leurs réseaux ou former leurs employés, pour voir s'ils ont un plan de réponse aux incidents et ainsi de suite », explique Rebora. « ils doivent s'assurer que le client est digne de leurs services. »
Cela signifie que la cyberassurance, au sens traditionnel du terme, peut ne pas être disponible pour toutes les entreprises qui le souhaitent. « certaines organisations … ne seront pas assurables par les canaux commerciaux et les couvertures typiques », ont prédit les analystes de Forrester l'année dernière.
Certains explorent donc d'autres moyens. Un « assureur captif » est un fournisseur d'assurance qui est entièrement détenu et contrôlé par ses souscripteurs. Les avantages comprennent « la capacité d'adapter la couverture pour les risques difficiles à assurer ou émergents », selon le cabinet d'expertise comptable PwC.
Bailey s'attend à ce que les grandes entreprises utilisent des assureurs captifs pour atténuer les risques de cybersécurité. « de nombreuses entreprises ont formé une compagnie d'assurance captive pour les risques les plus difficiles à placer, ou pour prendre une partie du risque dans leur propre bilan », dit-elle. « je pense certainement que cette tendance se poursuivra absolument à l'avenir. » cependant, ce n'est pas une option offerte à tout le monde.
Cyber assurance: une condition pour faire des affaires?
Pour les entreprises incapables de sécuriser l'assurance cybernétique, cela peut non seulement être risqué, mais aussi un obstacle à leur activité, car cela devient une condition pour faire des affaires dans certains domaines. « dans certains secteurs et certains segments de revenus, il n'est pas rare de voir une exigence de cyberassurance avant de conclure un contrat », explique Bailey.
En conséquence, les analystes de Forrester prédisent, "une cyber politique deviendra un besoin d'avoir plutôt qu'un beau à avoir."
Cela signifie que, malgré le stress qu'elle met sur leur entreprise, la crise des ransomwares a placé les assureurs dans une position d'influence considérable. « en raison de ces tendances actuelles, les compagnies d'assurance ont assez de pouvoir », explique Rebora.
Pour certaines entreprises, la pression continue sur le marché de la cyberassurance peut donner l'impulsion d'investir dans des précautions et des protections à jour. Mais pour ceux qui n'ont pas le capital ou la capacité de le faire, cela pourrait entraîner une occasion manquée et une exposition à des risques potentiellement insurmontables.
Combien de temps durera le squeeze? Les estimations varient: Simon Milner, un agent chez Miller Insurance, s'attend à ce qu'il soit résolu au cours des deux prochains trimestres, tandis que Howden Group Holdings suggère que cela pourrait durer au moins jusqu'en 2025.
Mais ce ne sont pas seulement les entreprises individuelles qui sont en danger. Les contraintes financières du secteur de l'assurance signifient qu'il pourrait ne pas être en mesure de gérer un incident de cybersécurité catastrophique affectant plusieurs parties, prévient Bailey.
"If there is some sort of large-scale cyber event, could the private sector and the insurance industry withstand that? Ultimately I think it would take something from the public sector in order to manage any kind of large-scale catastrophe,” she says. Inscrivez-vous à la newsletter hebdomadaire de Tech Monitor, Changelog, pour obtenir les dernières informations et analyses fournies directement dans votre boîte de réception. Claudia Glover est journaliste sur Tech Monitor.Vous voulez en savoir plus sur le leadership technologique?
Claudia Glover
Journaliste
