Face à la multiplication de cyber-attaques d'ampleur ces derniers mois, le monde de l'assurance accélère l'allure pour développer des offres de protection dédiées, sans toujours toutefois trouver de recette miracle, faute d'un recul encore suffisant pour ce type de menace.

"L'assurance cyber est encore un segment réduit, mais le nombre d'incidents et le nombre d'attaques devient de plus en plus important", a relevé Torsten Jeworrek, l'un des dirigeants du réassureur allemand Munich Re, lors d'une conférence de presse dimanche à Monaco.

Les réassureurs, chargés d'assurer les assureurs contre les grands risques, sont réunis depuis dimanche dans l'État monégasque à l'occasion des Rendez-vous de septembre, grand-messe annuelle qui marque traditionnellement le coup d'envoi de discussions avec les clients en vue du renouvellement des contrats en janvier.

"La qualité des attaques se renforce également et ce n'est plus seulement un problème pour les entreprises ciblées mais de plus en plus aussi pour leurs partenaires car dans un monde intégré, dans une économie mondiale, beaucoup de partenaires dépendent les uns des autres", a ajouté M. Jeworrek.

"Nous continuons à attendre une progression (du marché mondial de la cyber-assurance) de l'ordre de 25 à 30% tous les ans", a pronostiqué le réassureur.

Suivant ce pronostic, les entrées de primes brutes, équivalent du chiffre d'affaires pour les assureurs, pourrait atteindre près de 7 milliards en 2019 et près de 9 milliards en 2020, contre un peu plus de 5 milliards en 2018.

Ceci étant, "la modélisation et la compréhension de ces risques sont différentes et épineuses d'un certain point de vue au regard de la complexité qu'il y a à les analyser", a prévenu M. Jeworrek.

"Marché qui se cherche"

"On est dans un marché (de l'assurance) qui se cherche", résume pour l'AFP Mickaël Robart, expert en risques cyber au sein du courtier Siaci Saint-Honoré.

Car à la différence d'autres types de menaces prises en charge par l'assurance, "on ne sait pas où on va sur le risque systémique et cyber (...) On connaît la nature des conséquences, on sait très mal calculer les impacts en amont" et notamment les conséquences d'une attaque informatique sur des biens immatériels tels que les données, détaille M. Robart.

"Les clients attendent un peu de clarification et c'est en train de venir. Il y a un marché qui s'organise de plus en plus, la cyberassurance est presque une branche qui est en train de se créer", affirme-t-il.

Pour les entreprises victimes de piratage informatique, le principal danger reste celui d'un arrêt de l'activité, synonyme à la fois de perte de résultat et potentiellement de réputation.

À la fin de l'été, le groupe de services d'analyses pour la pharmacie, l'agroalimentaire et l'environnement Eurofins a ainsi révélé qu'une cyber-attaque au rançongiciel en juin lui avait fait perdre 62 millions d'euros de chiffre d'affaires au premier semestre, sur un total de 2,7 milliards.

Plusieurs autres attaques de ce type ont été rapportées cette année, avec des conséquences financières importantes dans les comptes semestriels d'entreprises comme Fleury-Michon (agroalimentaire), Altran (conseil en technologie) ou Norsk Hydro (producteur d'aluminium norvégien).

Ces cyberattaques, qui consistent à s'emparer des données d'un utilisateur via des logiciels malveillants avant d'exiger une rançon en échange de leur déblocage, avaient déjà causé des pertes économiques importantes en 2017 à de grands groupes français comme Renault ou Saint-Gobain, victimes des virus WannaCry et NotPetya.

Un futur produit "standard"

"Il y a une prise de conscience au sein des entreprises et des directions, (...) ce type d'assurance va devenir rapidement un standard de souscription", assure à l'AFP Timothée Crespe, expert en risques informatiques pour le courtier britannique AON.

Il y a quelques années, seuls les grands groupes étaient équipés de ce type d'assurance mais la donne est en train de changer. De plus en plus d'entreprises de taille intermédiaires (ETI), de grosses PME voire même de professions spécialisées (avocats, notaires, etc.) sont désormais couvertes elles aussi.

Car si les attaques informatiques sont parfois massives et aveugles, elles peuvent aussi se révéler très ciblées : "on voit beaucoup de grosses ETI qui se font toucher parce qu'elle ont les moyens de payer et parce qu'elles peuvent s'en remettre", souligne M. Crespe.

En outre, "ce que recherchent les attaquants, ce sont les points de faiblesse, susceptibles d'apparaître dans l'écosystème de sous-traitants et de fournisseurs des grands groupes", ajoute-t-il.

L'explosion du nombre d'objets connectés dans le monde, l'interconnection croissante des entreprises et l'automatisation des chaînes de production augmentent d'autant la "surface" pour les cybercriminels de sorte qu'une attaque à Singapour peut rapidement se propager en Allemagne, illustre l'expert.