Assurance cybersécurité : répondre aux risques et aux préoccupations à l’ère numérique
La cybercriminalité coûte 600 milliards de dollars par an aux entreprises et aux particuliers, selon Mike Taylor de PropertyCasualty360. Par conséquent, de nombreux clients d’assurance cherchent à obtenir une couverture pour leurs pertes par le biais d’une assurance spécialisée en matière de biens ou de responsabilité civile.
Connue sous le nom d’assurance cyber, d’assurance cybersécurité ou d’assurance cyberresponsabilité, cette couverture se concentre sur l’atteinte, la perte ou l’endommagement de données numériques et d’actifs similaires. Bien que la cyberassurance reste principalement un produit commercial, les polices personnelles suscitent de plus en plus d’intérêt parmi les personnes qui cherchent également à protéger leurs propres données, explique M. Taylor.
Les assureurs qui comprennent ce nouveau monde de risques peuvent offrir une couverture plus efficace tout en augmentant la fidélité et la confiance des clients.
Qu’est-ce que l’assurance cybersécurité ?
L’assurance cybersécurité protège les personnes et leurs informations contre les menaces en ligne, explique Rachel Sonia de Commonwealth Independent Advisor. « L’assurance cyberresponsabilité aide à atténuer l’exposition aux risques en compensant les coûts liés à la récupération après une attaque ou une atteinte à la cybersécurité ». Il peut protéger un titulaire de police contre les pertes de première partie, les réclamations de tiers ou les deux.
L’assurance cyberresponsabilité civile de première partie couvre le coût des atteintes au réseau de l’assuré, comme les notifications aux clients, les enquêtes sur l’atteinte et la protection antifraude. La couverture des tiers fournit un soutien aux titulaires de police au cas où ils seraient poursuivis ou tenus responsables d’une violation de données.
Étant donné que la cyberassurance reste un nouveau domaine de couverture, les détails de l’évaluation des risques sont encore en cours de formulation par les compagnies d’assurance.
« Bien que les assureurs automobiles puissent extraire des données fiables des boîtes noires pour cartographier le comportement des conducteurs et découvrir les risques, ce n’est pas si facile avec la cybersécurité. Les assureurs ont besoin de mesures pour les aider à faire la distinction entre les candidats à haut risque et les candidats à faible risque », explique Jack Kudale, ancien directeur de l’exploitation de Cavirin Systems et actuel fondateur et PDG de la plateforme de cyberassurance Cowbell.
Les compagnies d’assurance qui consacrent des ressources à l’élaboration de ces mesures dès maintenant peuvent accéder plus rapidement au marché des couvertures. Et ce marché est plus vaste qu’il n’y paraît à première vue.
« Ce n’est pas seulement une question d’informatique, ce n’est pas seulement une affaire d’entreprise technologique. C’est tout le monde », a déclaré Jason Hogg, chef de la direction de Cyber Solutions chez Aon. Le besoin pressant d’une couverture de cyberresponsabilité présente des opportunités clés pour les assureurs de dommages.
Les risques de cybersécurité et leur couverture
L’assurance cybersécurité est relativement nouvelle pour les clients et les assureurs. De nombreuses entreprises n’ont pas de polices qui répondent aux besoins spécifiques de l’industrie, écrit Eleanor Vaida Gerhards , associée de Fox Rothschild, sur PropertyCasualty360.
« Pour éviter les lacunes et les litiges potentiels en matière de couverture, les courtiers et les assureurs devraient travailler en étroite collaboration avec les clients afin d’identifier leurs risques uniques, d’adapter la couverture pour y faire face et de s’assurer que leurs assurés savent exactement ce qui est couvert et ce qui ne l’est pas », écrit M. Gerhards.
D’autres clients supposent que leur police d’assurance responsabilité civile générale couvrira une violation de données. Souvent, ce n’est pas le cas : la couverture de responsabilité civile générale d’un titulaire de police peut ne pas compenser adéquatement les pertes causées par le piratage ou d’autres problèmes de données, explique Wendy Marx de Old Republic Risk Management.
Pour déterminer si une police d’assurance responsabilité civile générale couvre les pertes liées aux cyberrisques, les assureurs et les titulaires de police peuvent être contraints de se tourner vers les tribunaux. Par exemple, plusieurs tribunaux, dont la Cour d’appel du quatrième circuit et la Cour d’appel du Texas, ont conclu que les pertes d’un assuré résultant d’une violation de données étaient couvertes par des polices d’assurance responsabilité civile civile civile des biens. Ces plans contenaient déjà un langage spécifique définissant les données électroniques comme une forme de propriété, disent Eric B. Stern et Andrew A. Lipkowitz, associés chez Kaufman Dolowich & Voluck LLP.
Si une police d’assurance responsabilité civile générale mentionne spécifiquement les violations de données, une police d’assurance cyberresponsabilité distincte peut non seulement être superflue, mais aussi créer un risque de garanties contradictoires qui coûtent plus de temps et d’efforts à trier. Ce risque est accru lorsqu’un client souscrit une assurance cyberresponsabilité auprès d’un assureur alors qu’il détient déjà une assurance habitation ou une assurance générale auprès d’un autre assureur.
Une fois qu’une violation se produit, la plupart des assurés savent que la prochaine étape consiste à déposer une réclamation. Cependant, comme les violations de données et l’assurance cyber-responsabilité sont encore relativement nouvelles, de nombreux clients et compagnies d’assurance ne comprennent pas clairement les pièges potentiels du processus de réclamation, explique David T. Vanalek, directeur de l’exploitation des réclamations chez Markel.
Par exemple, la nécessité d’établir des protocoles de confidentialité entourant l’atteinte elle-même et les données compromises peut poser des défis. Contrairement à un accident de voiture ordinaire ou à un incendie de maison, les dommages causés par une violation de données peuvent être irrévocablement aggravés par les assureurs qui ne maintiennent pas de protocoles de sécurité stricts lorsqu’ils répondent à la réclamation déposée.
De plus, comme la cyberresponsabilité peut être couverte par plus d’une police, la nécessité de rester vigilant face aux réclamations de tiers reste élevée. Les assureurs peuvent avoir besoin de coordonner non seulement les réclamations de leurs propres assurés, mais aussi celles de tiers comme les sociétés de cartes de crédit ou les clients de leurs assurés.
Avantages d’offrir une couverture de cybersécurité
En plus d’attirer de nouveaux clients avec des produits sur mesure, les compagnies d’assurance peuvent générer et profiter d’un certain nombre d’avantages plus larges en offrant une couverture de cyberresponsabilité.
L’assurance cyberresponsabilité demeure faible, mais la demande croissante crée un marché inexploité pour les nouveaux clients de l’assurance de dommages. L’étude sur le cybermarché de 2017 du Council of Insurance Agents and Brokers (CIAB) a révélé que seulement 32 % des clients d’assurance avaient souscrit une assurance cyberresponsabilité ou une couverture contre les atteintes à la protection des données. Cependant, le sondage de 2018 a révélé que 79 % des compagnies d’assurance ont déclaré avoir constaté une augmentation de la demande pour cette couverture, explique Rob Boyce du CIAB.
Le marché potentiel pour les clients d’assurance cybersécurité s’étend bien au-delà des marques nationales et internationales dont les récentes violations de données ont fait les gros titres. « Pour les petites entreprises, rien n’est plus important que de protéger leur gagne-pain. L’assurance cyberresponsabilité est un autre outil qu’ils peuvent utiliser pour prévenir un désastre financier en cas d’attaque malveillante », explique Natalie Cooper, rédactrice en chef de BankingSense.com.
Toute entreprise qui traite des données personnelles de clients a besoin de mesures de sécurité et d’une couverture en cas de violation, déclare David J. Eismont de The Doctors Company. Les banques, les compagnies d’assurance et les cabinets médicaux en donnent des exemples évidents, mais le besoin de protection s’étend à l’ensemble du monde des affaires, des plus grandes banques aux plus petits dépanneurs qui traitent les cartes de crédit ou d’autres informations sur les clients.
Les assureurs qui accordent la priorité à la compréhension et à l’offre d’une couverture de cyberresponsabilité ont donc l’occasion d’exploiter un nouveau marché important, d’accroître leurs résultats et d’aider l’entreprise à atteindre ses objectifs de croissance et de rendement.
La présence d’une couverture de cyberresponsabilité elle-même peut également contribuer à réduire le risque de violation de données en façonnant le comportement des assurés.
Étant donné que les violations de données sont encore une menace relativement nouvelle et que leur coût peut sembler intangible, de nombreuses entreprises tardent à adopter de nouvelles technologies et de nouveaux processus capables de prévenir les violations de données. Ces outils et processus peuvent être coûteux, et les entreprises peuvent ne pas voir leur valeur tant qu’une violation ne s’est pas déjà produite, expliquent Paul Merrey et ses collègues chercheurs de KPMG International.
Cependant, les entreprises qui sont tenues de respecter certaines normes dans le cadre de leurs polices d’assurance cyber sont plus susceptibles de comprendre la nécessité de la sécurité des données et d’en tirer parti pour leur entreprise. Ils sont également plus susceptibles d’adopter ces outils une fois qu’ils comprennent quels risques existent et comment leur assurance les aborde.
Alors que la sécurité des données reste une préoccupation majeure pour les entreprises du monde entier, les compagnies d’assurance ont la possibilité d’améliorer la sécurité, d’atténuer les risques et d’exploiter une nouvelle clientèle. Les assureurs peuvent atteindre ces objectifs en comprenant les cyberrisques et en fournissant aux titulaires de police d’assurance cybersécurité les éléments dont ils ont besoin pour se protéger et protéger leurs propres clients.
Images par : everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, everythingpossible/©123RF.com