Le secteur des assurances à l'épreuve de l'Intelligence Artificielle
Lun 10 Avr - 15:46
Relevons le défi de la cyber-assurance avec les éditeurs de solutions ! Incertain et fragile, le marché de la cyber-assurance se cherche encore. Les éditeurs de solutions peuvent contribuer à enrichir cette réflexion, dont l’enjeu est notamment la modélisation d’éléments objectifs.
Le marché de la cyber-assurance se caractérise actuellement par un haut niveau d’incertitude ainsi que par des conditions désormais drastiques imposées aux entreprises par les compagnies d’assurance. Le contexte explique largement cet état de fait. En 2021, les assureurs ont dû faire face à une accentuation sans précédent de la cybermenace. Dans son dernier rapport sur le sujet, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) confirme qu’en 2022, 40% des attaques par ransomwares ont concerné les TPE, les PME et les ETI, 23% des collectivités locales (mairies, régions…) et 10% des hôpitaux. Au niveau mondial, 48% des entreprises ont ainsi été touchées par un incident cyber , contre 37% en 2021. Quant à la nature des attaques, elle s’est transfigurée, passant par exemple de plus en plus par des équipements mal maitrisés par les organisations, notamment les téléphones portables. Le tout sur fond d’instabilité internationale, la guerre en Ukraine en constituant un élément majeur.
Modéliser le marché de l’assurance : un défi à relever
Financièrement, le bilan est sans appel : les compagnies d’assurance ont perdu en moyenne, en France, 4 millions d’euros dans ces attaques. Et leur réponse ne s’est pas fait attendre : récemment, les primes demandées aux grands groupes ont été multipliées par deux (44,4%), cependant que la surface assurée se retreignait (de près de 5 % selon l'étude 2022 de l’AMRAE, l’Association pour le Management des Risques et des Assurances de l’Entreprise). C’est donc bien à un double effet de ciseaux que nous sommes en train de faire face : d’un côté, une hausse sans précédent des cyberagressions ; d’un autre côté, un marché qui se replie sur lui-même faute d’éléments permettant d’objectiver le risque.
Comment modéliser le marché assurantiel du cyber-risque ? Tel est le défi devant lequel nous nous trouvons actuellement, et qu’il convient de relever. Car la situation actuelle, figée, n’est certainement pas acceptable. Plus que jamais, il est important que l’ensemble des entreprises et des organisations puissent bénéficier d’une solution assurantielle. Il est tout autant important que les compagnies d’assurance soient en capacité de dégager des bénéfices, ce qui suppose de trouver un compromis plus large que celui, précaire, sur lequel nous nous reposons aujourd’hui.
Plusieurs pistes à suivre
Dans ce débat entre les compagnies d’assurances et les organisations, un troisième acteur a un rôle à jouer : les éditeurs de solutions en cybersécurité. Ces professionnels jouissent en effet d’informations qui permettent de suivre l’évolution de la menace, ainsi que des capacités des entreprises à y faire face. Aujourd’hui, l’asymétrie d’informations est trop importante : les éditeurs peuvent contribuer à la réduire afin que les assureurs proposent des offres à la fois plus adaptées et plus flexibles.
Plusieurs pistes sont ici à suivre. Parmi celles-ci figure la capacité des éditeurs de solution à fournir un score à l’assureur. Ceci permettrait de mesurer régulièrement, avec des critères objectifs, la surface d’attaque des clients ainsi que leur capacité à réagir face aux cybermenaces.
Autre piste à explorer : la promotion d’architectures de référence qui seraient déployées par les assureurs, particulièrement sur le marché des ETI et des PME. Cela pourrait prendre la forme d’une présence de solution de Network Detection & Response permettant d’augmenter la visibilité et de compléter les solutions existant sur les postes de travail de l’entreprise.
Doit-on aller encore plus loin en assurant la « couverture de l’infrastructure », ce qui présuppose que l’on puisse rigoureusement définir dans le contrat d’assurance ce que recoure le terme d’infrastructure ? Cette question, comme bien d’autres, reste ouverte, et peut être adressée aux éditeurs de solutions en cybersécurité.
Des initiatives en cours
Actuellement, nous pouvons observer que plusieurs initiatives sont en cours au sein d’associations professionnelles ( CESIN, AMRAE…) ou directement pilotées par les compagnies d’assurances. Toutes convergent vers l’idée d’apporter un cadre, de fournir des réponses concrètes et d’orienter un marché qui se cherche encore une doctrine (à l’image de la position adoptée par le CESIN sur le paiement des rançons).
Le législateur lui-même s’est emparé du sujet et, dans la récente loi d’orientation et de programmation du ministère de l’Intérieur du 24 janvier 2023 , il oblige toute entreprise confrontée à une atteinte de son système informatique à déposer plainte dans les 72 heures. Cette mesure permettrait à l’entreprise qui a contracté une assurance d’obtenir son indemnisation. À compter du 25 avril prochain, elle s’imposera à l’ensemble des personnes morales (sociétés, associations…) et des personnes physiques dans le cadre de leur activité.
Certains éditeurs ont déjà commencé à agir , en favorisant notamment le dialogue avec les compagnies d’assurance. L’urgence est là, d’autant plus que le cyber-risque est actuellement le plus grand risque identifié dans nos sociétés, juste derrière le changement climatique. Comme pour ce dernier, il s’agit de prévoir, d’anticiper, de s’adapter aux évolutions et ruptures à venir, notamment en lien avec l’utilisation intensive de l’Intelligence Artificielle.
Yann Fareau
Director of Business Development, EMEA South
chez Vectra AI
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum