« L’émergence de nouveaux moyens de communication, l’externalisation des données, la dépendance des entreprises à l’informatique sont autant de facteurs qui exposent les entreprises à de multiples risques, qu’ils soient physiques (défaillance matérielle, vol de matériel, sabotage physique, etc.) ou humains (virus, hacking, fraude, fuite de données, erreur involontaire, etc..) » cite un Senior System Engineer chez Exclusive Networks dans un article sur le sujet du cybercrime.
Le développement du télétravail dû à la pandémie de la Covid-19 a également entrainé une multiplication des cyberattaques en 2020 et début 2021 avec un risque encore plus visible.
Les entreprises sont exposées à de nombreux risques qui ne sont plus seulement liés à l’assurance du matériel.
Comment assurer un risque « qui frise » la non assurabilité ?
« Les entreprises françaises sont de plus en plus préoccupées par la fréquence et la gravité croissantes des cyber-incidents, les plaçant ainsi pour la première fois en tête du classement des risques en France », constate Corinne Cipière, CEO d'AGCS France.
Les Risk Managers cherchent aujourd’hui à assurer aussi bien les dommages matériels accidentels ou malveillants (incendie, dégât des eaux, …) qu’immatériels (virus, cryptolockers, attaques ciblées, erreurs humaines, cyber fraude, …).
D’après l’AMRAE, c’est donc un marché en forte croissance et au potentiel important (plus de 50 % des entreprises n’ont pas de couverture cyber en France).
Les assureurs doivent pouvoir répondre aujourd’hui à l’évolution de ces risques et aux attentes des entreprises en matière d’assurance et de cyber-sécurité, que ce soit pour les dommages subis par l’entreprise assurée y compris le volet pertes d’exploitation et frais de notification, mais également pour les dommages causés aux tiers.
Mais les couvertures cyber, encore récentes et parfois limitées, n’ont pas fini d’évoluer : sujet encore récent, pas encore maîtrisé et ayant trait à des risques difficilement quantifiables et mesurables. « On frise presque l’inassurabililité » citent plusieurs assureurs spécialistes des risques Dommages.
Car d’un point de vue actuariel, l’assurabilité d’un risque dépend d’un certain nombre d’éléments objectifs passés, les cyber-risques sont encore trop récents et échappent aux modèles de tarification.
Pourtant les Assureurs sont les mieux placés pour apporter les réponses aux entreprises et leur permettre de poursuivre le développement de leur activité.
Et s’ils ne le font pas de manière volontariste, ils y seront sans doute contraints dans la durée.
Dans ce contexte, la tarification de ces risques et leur souscription devient un véritable enjeu.
Des profils très rares et ultra recherchés
De fait, le marché du recrutement pour ce type de profils connait une forte croissance et les profils qui gravitent autour de ces thématiques (Risk Managers spécialisés, Ingénieurs prévention en cyber risques, Souscripteurs Cyber, …) sont extrêmement recherchés.
La plupart de ces profils ont des backgrounds informatiques, complétés par des certifications ou des formations techniques.
Bien que l’Agence Nationale de la Sécurité des Systèmes d’Information – ANSII - promeut la reconnaissance de formations continues ou initiales dans le domaine de la sécurité des systèmes d’information et des labellisations sont mêmes lancées à titre expérimental, les formations « total cyber sécurité » n’existent pas encore puisque c’est par définition un risque plutôt émergent qui ne cesse d’évoluer.
Alors comment un chasseur ou une entreprise peut répondre aux besoins de ce marché très porteur ?
Nos préconisations sont les suivantes :
- La première réponse se trouve dans la guerre des talents : recruter chez un concurrent le profil dont l’entreprise a besoin. Mais la demande de souscripteurs cyber est tellement supérieure à l’offre que cette réponse, hautement inflationniste en termes de rémunération ne peut-être qu’incomplète et ne peut pas durer dans le temps.
- La deuxième solution serait de faire évoluer des souscripteurs dommages RC aux cyber-risques. Mais ceux-ci ont-ils l’envie et surtout la capacité à appréhender des risques nouveaux et particulièrement techniques, voire obscure pour les non-initiés ?
- La troisième est de partir des risques couverts (risques IT au sens large) et de former des profils techniques au métier de souscripteur et à l‘évaluation de ces risques. Pour un profil de souscripteur cyber, métier dans lequel il faut posséder une vision technique très forte et un regard neuf sur ces sujets, recruter des profils plus jeunes avec un background IT qui seront ensuite formés à l’assurance et à l’évaluation des risques peut aussi être une solution que l’on peut mettre en place aujourd’hui pour répondre aux enjeux de demain.
Bien sûr, rien ne garantit qu’un profil informatique fasse un bon souscripteur. Car sans possibilité de s’appuyer sur un existant, c’est à travers le prisme des compétences comportementales qu’il faut aborder le sujet : capacité d’analyse, de synthèse, de recherche d’information, de sens critique, curiosité, bon sens, compréhension des risques, capacité à quantifier, intelligence relationnelle, ….
Pour cela, l’Assessment Center peut être une bonne réponse.
Je serai ravie d’échanger avec vous sur ces nouveaux sujets. Alors contactez-moi Louise ENESCAUX – Practice Leader Assurance, Morgan Philips Executive Search, au 06 61 84 75 33 ou louise.enescaux@morganphilips.com.
Sitographie :
Risque cyber : les entreprises françaises se disent prêtes en cas de cyberattaque - MARIE-CAROLINE CARRÈRE | 26/03/2021 » - Argus de l’Assurance
Souscripteur cyber, mode d'emploi RÉMI BOULLE | 31/01/2019 à AMRAE 2019 SOUSCRIPTEURS
Argus de l’Assurance - Le risque cyber, une menace plus que jamais majeure Publié par Mallory Lalanne le 25 févr. 2021
Village de la justice - mardi 28 mai 2019 - https://www.village-justice.com/articles/infographie-les-grandes-tendances-cybersecurite,31535.html
« Comment « débloquer » le marché Assurance cyber en France ? Travaux de Par Charles d’AUMALE (1997), François GRATIOLET (1999), Stéphane SOLLAT (2009), François-Xavier VINCENT