Skip to main content

Rapport

La crise silencieuse de l'assurance cyber : de nombreuses entreprises assument plus de risques qu'elles ne le réalisent

Les entreprises peuvent passer des années à investir dans la cybersécurité — et subir malgré tout l'une de leurs plus lourdes pertes financières jamais enregistrées à la suite d'un seul incident cyber. Telle est la réalité inconfortable à laquelle nombre d'organisations sont confrontées aujourd'hui.

Si la préparation technique demeure une priorité majeure, la viabilité d'une entreprise est aussi fortement liée à son exposition financière à un incident cyber. Une analyse de Marsh révèle que 67 % des clients britanniques achètent des plafonds d'assurance cyber qui seraient insuffisants dans un scénario de perte 1 sur 100 ans. Cela importe parce qu'un événement 1 sur 100 n'est plus un scénario irréaliste. Aujourd'hui, une telle ampleur d'événement est considérée comme un test de résistance réaliste pour les entreprises qui évoluent dans un environnement interconnecté, et l'absence d'une protection adéquate peut laisser les entreprises plus exposées à des répercussions catastrophiques sur le bilan, même lorsque leurs défenses de sécurité semblent robustes.

La nature des pertes cyber a évolué

De récents incidents cyber impliquant de grandes organisations britanniques mettent en lumière l'ampleur du problème. Dans un dossier très médiatisé du secteur de la distribution, une attaque par rançongiciel a provoqué des perturbations prolongées des paiements, du commerce électronique et des opérations clients. Les divulgations publiques ont ensuite révélé que l'impact financier se comptait en centaines de millions de livres, l'assurance ne couvrant qu'une partie de la perte économique globale.

Les entreprises d'aujourd'hui sont étroitement interconnectées — physiquement et numériquement — de sorte qu'un seul incident cyber peut déclencher d'importantes perturbations opérationnelles et financières chez plusieurs partenaires et dans plusieurs secteurs.

Pendant des années, de nombreuses entreprises ont considéré l'exposition cyber principalement sous l'angle de l'impact immédiat d'une violation de données ou de sécurité — coûts directs importants (par exemple, coûts de notification et conseils juridiques liés à la violation), responsabilité envers des tiers qui en découle (comme le contrôle réglementaire et la réparation auprès des clients), et obligation de signaler dans les 72 heures après avoir pris connaissance de la violation, lorsque cela est possible. Ces expositions existent toujours, mais pour beaucoup d'organisations, la principale inquiétude financière provient désormais de la paralysie opérationnelle.

Un incident grave de rançongiciel peut arrêter l'activité commerciale, retarder la production, perturber la logistique, empêcher les employés d'accéder aux systèmes et entraîner des semaines de perte de revenus et des dépenses supplémentaires pour atténuer l'impact. Même après la restauration des systèmes, des effets secondaires se poursuivent souvent : attrition de la clientèle, réparation de la réputation, distraction de la direction et retard des activités stratégiques.

Cela importe parce que ces attaques ne sont pas exceptionnelles, mais reflètent une réalité plus large : les plus importantes pertes cyber sont aggravées par les temps d'arrêt et l'interruption d'activité, et non simplement par le vol de données ou les demandes de rançon. Elles sont souvent de nature systémique, ce qui modifie la manière dont les organisations devraient envisager l'assurance cyber.

Pièges courants

Les entreprises sont souvent confrontées au choix d'investir dans la cybersécurité ou d'acheter une assurance cyber. Certaines estiment disposer de contrôles suffisants et estiment donc ne pas avoir besoin d'assurance. La réalité est — comme l'ont montré les événements de ces dernières années — que la cybersécurité et l'assurance cyber ne devraient pas être considérées comme mutuellement exclusives : elles se complètent.

Lors du choix du plafond à souscrire, les entreprises peuvent s'exposer davantage en raison d'options par défaut et potentiellement regrettables. Par exemple :

  • Renouveler pour le même montant que l'an dernier.
  • Souscrire un plafond similaire à celui du groupe de pairs sans revoir les lacunes de contrôle et les expositions différentes.
  • Choisir un montant qui paraît commercialement tolérable du point de vue de la prime.

Aucune de ces approches ne reflète nécessairement l'exposition financière réelle. Une limite de £5 million peut sembler substantielle isolément. Mais pour une entreprise réalisant £50 million de revenus annuels et disposant d'une large base de clients ou de fournisseurs, plusieurs semaines de perturbation pourraient absorber ce montant étonnamment vite.

Réviser votre plafond d'assurance cyber

Pour vous assurer que le plafond d'assurance cyber de votre entreprise est correct, il est conseillé d'adopter une vue globale des conséquences financières d'un incident cyber grave. Lors de la planification avec votre courtier, les points suivants pourraient devoir être passés en revue :

  • Les revenus perdus pendant les périodes d'interruption, modélisés sur plusieurs horizons temporels (heures, jours et semaines).
  • La rapidité et les ressources nécessaires pour restaurer les systèmes essentiels sous pression opérationnelle — pas en théorie, mais en pratique.
  • Exposition contingente : que se passe-t-il si un fournisseur technologique clé, un prestataire externalisé ou un partenaire logistique subit d'abord une panne?
  • Le coût de la reconstruction de la confiance, de la conservation des clients et de la stabilisation des opérations après un incident public.
  • Le renfort en personnel et les contournements manuels supplémentaires nécessaires pour maintenir les fonctions critiques.
  • Les coûts de réponse à l'incident et d'enquête, y compris l'investigation médico-légale, les consultants en gestion de crise et le conseil juridique lié à la violation.
  • La reconstruction et la restauration des systèmes — en particulier l'identification des systèmes et actifs critiques et la priorisation de leur restauration.
  • L'impact potentiel des amendes et sanctions réglementaires ou des réclamations découlant d'un incident cyber.
  • Les responsabilités contractuelles et la position de l'entreprise en matière d'indemnisation des clients et de gestes commerciaux.
  • Les dépenses liées à la reprise de la réputation et à la fidélisation.

Dans de nombreux cas, le plafond d'assurance est épuisé bien avant que l'ampleur des dommages économiques totaux soit établie. L'assureur n'absorbe pas ce déficit — il incombe au bilan de l'organisation. Assurez‑vous que votre stratégie de transfert de risque reflète le coût réel de l'interruption d'activité, et pas seulement les dépenses directes liées à la violation.

Les conditions du marché restent favorables aux acheteurs

Malgré une activité de sinistres continue, le coût de l'assurance cyber a nettement diminué par rapport à son récent sommet. Les tarifs primaires cyber ont chuté d'environ 42 % par rapport aux niveaux de 2022, stimulés par une concurrence plus forte entre assureurs, une capacité plus large et une couverture pour les risques bien gérés.

Cette baisse crée une opportunité bienvenue pour les entreprises de tirer parti de la dynamique du marché. Les organisations qui avaient réduit leurs couvertures par le passé pour maîtriser les coûts peuvent désormais être en mesure d'obtenir des plafonds plus élevés aujourd'hui pour une prime similaire — ou, dans certains cas, inférieure — à celle des récents cycles de renouvellement. Toutefois, le cycle de marché pourrait ne pas rester favorable indéfiniment : à mesure que se développent des sinistres graves, la tarification et la discipline de souscription peuvent se resserrer à nouveau.

Le plafond d'assurance cyber est une décision du conseil d'administration

L'assurance cyber est une composante essentielle de l'écosystème de défense cyber d'une entreprise, fournissant une protection du bilan contre l'un des risques qui évoluent le plus rapidement et qui menacent les organisations modernes. La cybersécurité est une course aux armements incessante dans laquelle il est difficile de garder une longueur d'avance. Il existe un décalage entre le moment où l'on construit des défenses suffisamment hautes et rapides pour contrer les menaces cyber et la vitesse à laquelle les acteurs de la menace évoluent. L'assurance joue un rôle important pour réduire ce décalage d'exposition.

Ainsi, elle ne doit pas être considérée comme un simple poste d'approvisionnement ou un achat de conformité, mais comme une décision stratégique pour le conseil d'administration.

Les organisations qui répondront le mieux au prochain événement majeur ne seront probablement pas celles qui se sont contentées d'acheter une police — elles seront celles qui auront compris leur exposition, remis en question de vieilles hypothèses et dimensionné leur protection en conséquence.

La question centrale est simple : si un incident cyber majeur survenait demain, le programme actuel de votre entreprise absorberait‑il une part significative de la perte, ou l'entreprise financerait‑elle la majeure partie elle‑même? Dans le domaine du risque cyber, les erreurs les plus coûteuses ne sont découvertes qu'après la survenance d'un incident, souvent en raison d'un manque de préparation et d'examen des limites d'assurance évoquées ci‑dessus.

Nos collaborateurs

Serena France-Hayhurst

Serena France-Hayhurst

UK Cyber Placement Leader, Cyber Risk

  • United Kingdom

Placeholder Image

Shrey Grover

UK Cyber Strategy Leader, Senior Vice President, Marsh

  • United Kingdom

Kaan Yardimci

Kaan Yardimci

Cyber Growth Leader

  • United Kingdom

Perspectives connexes