Fin novembre 2019 l’ANSSI et l’AMRAE publiaient un guide sur la maitrise du risque numérique pour les dirigeants d'entreprise. Un guide en 15 étapes pour "accompagner" les dirigeants des organisations publiques et privées de toutes tailles dans la construction d’une politique de gestion du risque numérique.

L'ironie du sort a voulu que ce guide, bien que pertinent, soit arrivé avec deux ans de retard sur la réalité de la menace. Pendant ce temps, les ransomwares progressaient inexorablement, prenant de court un monde des affaires mal préparé, mais qui pensait le contraire. En 2019 le risque perçu comme majeur était celui de la conformité règlementaire. 

Il faut reconnaitre que personne n'était prêt. L'AMRAE déclarait en 2019 que l'assurance cyber était un outil intéressant mais difficile à manipuler. Il faut rappeler qu'à cette époque les polices étaient le plus souvent des traductions de textes anglo-saxons orientés RC pour des raisons historiques. L'histoire a montré depuis qu'un sinistre cyber est surtout un dommage au SI.

A cette époque l'AMRAE soulignait les difficultés des PME pour évaluer et apprécier les cyber-risques rappelant que dans les grandes entreprises la prise de conscience du cyber risque était établie. Seulement la prise de conscience ce n'est pas suffisant. 

2020 a marqué une année de basculement pour l'assurance cyber et a montré que les grandes entreprises n’étaient pas prêtes à faire face d'une part, et d'autre part que le marché se fermait aux PME car les capacités des assureurs avaient été vidées, justement à cause des grands comptes, qui, mal préparés avaient subis des attaques dévastatrices. 

C’est aussi cette situation qui va créer les conditions, à l'arrivée sur le marché des insurtech qui elles vont savoir s'adresser aux PME.  

Entre 2020 et 2022, le monde a assisté à une explosion des sinistres cyber, touchant même les entreprises réputées "prêtes". La réaction du marché a été brutale, au point qu'en janvier 2022, le président de l'AMRAE lançait un cri d'alarme : "Le marché de la cyber-assurance n'existera peut-être plus l'an prochain". 

Ce message provocateur a eu le mérite de secouer tous les acteurs du secteur, les poussant à l'introspection.

C'est ce qui a été fait mais peut-être pas assez encore car, la nature humaine est ainsi faite, dès que les choses vont mieux, les excès reviennent. Et c'est ce qui se passe en ce moment, à tel point que d'aucun souhaiterait quelques sinistres pour que le marché se régule, tellement la compétition est rude. 

C'est qu'en 2 ans il s'en est passé des choses. L'assurance cyber n'a pas disparu, elle toujours là, les polices ont été revues, les acteurs sont montés en compétences et en nombre (Insurtech, nouveaux entrants). 

C'est la loi du marché, oui ok. Mais, ce mouvement est tellement fort qu'il crée le terreau pour une réplique de 2020. Et elle a de bonnes chances de survenir tant qu'il s'accélère. Certains acteurs du marché qui ne veulent pas céder à une forme de dumping commencent à la souhaiter. Avec la baisse des primes, les plans bâtis il y a 2 ans ne sont pas atteint, il faut donc trouver nouveaux assurés et souscrire.

Inévitablement la qualité des risques diminue. En revanche, ce qui est à la hausse, c'est l'évolution des attaquants et l'utilisation de l'IA de manière offensive que ce soit pour le cyber, la fraude ou les deux combinés. 

Un risque atypique : 

Le risque cyber ne peut pas être appréhendé comme les autres risques qui sont assez stables, essentiellement avec une composante de sécurité.  

Il reste un dernier point à intégrer si ce n'est pas déjà fait : Le risque cyber a la particularité d'être fortement évolutif et il constitue avant tout un problème de sureté. 

La sécurité se concentre sur la réduction des risques, tandis que la sûreté vise à prévenir intentionnellement les menaces. 

La stratégie pour y parvenir est différente. Comprendre, sentir et anticiper l'état de la menace, et pas seulement celle du marché doit être une constante. C'est sans doute là que la maturité réside au moment de souscrire.

Ne reproduisons pas les erreurs du passé.