Diplômé du Master 2 en Gestion Globale des Risques de KEDGE Business School ainsi qu’un Master 2 en Management de l’Assurance de l’Ecole Nationale des Assurances de Paris (Enass), Ezechiel a commencé son parcours professionnel en tant que Chargé de Comptes Responsabilité Civile-Lignes Financières ou il était notamment en charge du développement des risques cyber pour les entreprises du middle market. Depuis trois ans, il est en charge de la branche cyber du premier courtier français Gras Savoye WTW. La cyber assurance est gérée au sein d’un département spécialisé -FINEX- qui traite l’ensemble des risques financiers notamment les risques de Responsabilité des dirigeants, de fraude, de kidnapping et rançon et de responsabilité liée aux risques de rapport sociaux. Ezechiel accompagne le développement technique des équipes, travaille et négocie les offres en relation avec les assureurs actifs sur le segment des risques cyber et contribue au développement commercial en support des commerciaux sur le segment des grandes entreprises, ETI et PME.
CIberObs : Pouvez-vous nous expliquer ce qu’est la cyber assurance ?
Ezechiel Symenouh : La cyber assurance est une protection financière pour les entreprises permettant de protéger leur bilan et leur compte de résultat en cas d’attaques informatiques. Les contrats d’assurance cyber couvrent deux évènements majeurs qui sont l’atteinte aux données et l’atteinte au système d’information. Une fois ces deux évènements déclencheurs survenus, le contrat offre aux assurés un volet assistance pour accompagner l’entreprise dans la gestion de l’incident. En effet, à la survenance d’un incident cyber, l’entreprise avec l’aide d’un expert informatique va tenter de comprendre les circonstances (Quand ? Où ? Comment ? Quoi ?) du sinistre afin de remédier le plus rapidement possible à l’incident pour redémarrer son activité. L’entreprise pourrait faire appel à différents conseils ou prestataires pour l’assister notamment un conseil juridique, un conseil en communication de crise, un prestataire spécialisé en restauration et reconstitution des données et du système d’information. Ensuite, le contrat propose un volet responsabilité civile et dommage pour d’une part couvrir les frais de défenses et conséquences pécuniaires à la suite d’une réclamation d’un tiers qui aurait vu ses données impactées par une violation de confidentialité et d’autre part pour couvrir les frais supplémentaire d’exploitation et perte d’exploitation en cas d’arrêt d’activité survenu à la suite de l’incident.
La cyber assurance s’est développée au début des années 2000 aux Etats Unis dans un contexte réglementaire qui obligeait les entreprises à notifier toute violation de données aux personnes concernées. Au-delà de ces enjeux réglementaires, l’émergence de la cyber assurance s’est faite également à cause d’une menace réelle, grandissante qui est la cybercriminalité. La cybercriminalité est devenue un enjeu réel pour les organisations qui sont victimes de pertes financières colossales. En 2019, elle représentait un coût de plus de 700 milliards de dollars pour les entreprises dans le monde. Dans ce contexte, la cyber assurance est devenue aussi importante qu’un antivirus pour une entreprise. C’est une étape clé dans le processus de cyber résilience d’une organisation. Il s’agit pour l’entreprise de prendre pleinement conscience de son risque cyber et de s’y préparer en transférant les conséquences financières à un tiers qui est l’assureur. Les assureurs ayant compris les enjeux, ont développé des offres financières intégrant à la fois une partie préventive et curative.
CIberObs : Combien coûte en moyenne la souscription d’une cyber assurance pour une entreprise ?
Ezechiel Symenouh : Il est difficile d’estimer le coût d’une police d’assurance cyber en donnant une moyenne de prime tant beaucoup de paramètres entrent en jeu quand on veut tarifer la prime d’une police d’assurance cyber. Le coût d’une police cyber dépendra de l’analyse de risque, positive ou négative, qui est faite en amont par l’assureur. Plusieurs facteurs permettront d’apprécier le coût d’une assurance cyber. Avant toute chose, la nature de l’activité de l’entreprise permettra de déterminer si l’entreprise collecte ou non des données personnelles ou sensibles et de déterminer les enjeux informatiques inhérents à son activité. Ensuite, la taille de l’entreprise permettra d’évaluer le montant des pertes éventuelles que pourrait subir l’entreprise. Par ailleurs, l’exposition géographique de l’entreprise contribuera à une analyse de son exposition dans la mesure ou certaines régions comme les USA / CANADA sont considérées comme des facteurs d’aggravation de risque compte tenu de la judiciarisation des réclamations relatives à la protection des données personnelles. Enfin, l’analyse des mesures de protection et de prévention en cybersécurité notamment la gouvernance et les solutions techniques déployées par une entreprise auront un impact positif ou négatif sur la prime.
CIberObs : A combien s’évalue le marché de la cyber assurance dans le monde ? Et en Afrique ?
Ezechiel Symenouh : En 2019, les experts estimaient le marché mondial de l’assurance cyber à un peu moins de 5 milliards $ de montant de primes collectées. Les Etats Unis forts de leur expérience de plus de 20 ans dans la souscription de ce risque captent plus de 80% des primes mondiales et comptent plus d’une centaine d’assureurs capable de proposer une solution assurantielle pour couvrir ce risque. Ensuite, on retrouve l’Europe qui a commencé à se saisir du sujet depuis moins de dix ans et dont les primes collectées représentent environ 10% du marché global. L’Afrique est encore à ses débuts et devra à mon sens prendre le pas très rapidement pour satisfaire une demande qui commence à émerger dans plusieurs secteurs d’activité. La demande est fortement corrélée au tournant de la révolution numérique pris par les pays africains depuis plusieurs années ouvrant les portes à de nouvelles menaces qui sont les cyber risques. En effet, l’Afrique capitalise sur le numérique pour accompagner son développement et répondre à des besoins jusque lors insatiables.
CIberObs : Comment le marché africain se place en termes de cyber assurance ?
Ezechiel Symenouh : Le marché de la cyber assurance en Afrique est assez hétérogène entre les différentes régions. L’offre de cyber assurance est inexistante en Afrique Subsaharienne. Il n’y a pas de capacité dédiée en local ou portée par des assureurs locaux. Cela n’empêche pas d’accompagner les clients africains dans le placement d’une police d’assurance cyber. En effet, en respectant strictement la réglementation locale en Afrique Francophone qui est régie par le code CIMA, on fait appel à un porteur de risque local qui lui-même se réassure sur d’autres marchés.
En Afrique anglophone plus précisément en Afrique Australe, l’horizon est un peu plus dégagé dans la mesure où il y a des assureurs qui commencent à développer des solutions de base avec des montants de garantie dédiés en local. L’Afrique du Sud doit être le premier pays africain qui dispose de plusieurs solutions d’assurance cyber en local proposées par des assureurs de rang mondial qui y ont des filiales ou succursales. Ces assureurs ont de l’expérience sur les autres marchés et capitalisent sur cette expertise cyber pour proposer des couvertures adaptées.
A mon sens, le développement de la cyber assurance en Afrique passera par une approche à la fois conjoncturelle et structurelle. Le cadre réglementaire lié à la protection des données personnelles ou à la sécurisation du système d’information pourrait être un élément catalyseur du marché de l’assurance cyber en Afrique comme cela a pu être le cas dans d’autres pays. L’Afrique a fait l’effort de poser les bases en adoptant la convention de Malabo sur la cybersécurité en 2014 par l’intermédiaire de l’Union Africaine. Cette convention est très intéressante dans le fond et montre qu’il y a une prise de conscience des autorités africaines. Elle apporte l’obligation d’établir une politique de cyber sécurité à l’échelle nationale, en créant des structures opérationnelles en cybersécurité telles que les CERT (Computer Emergency Response Team), protéger les infrastructures critiques de la nation comme les services vitaux au bon fonctionnement de la nation. Elle introduit également une obligation de protection des données à caractère personnel. Malheureusement, à ce jour, peu d’Etats de l’Union Africaine l’ont ratifié pour permettre son entrée en vigueur.
Enfin, le développement de la cyber assurance en Afrique ne peut se faire que sous l’impulsion d’un courtier spécialisé en mesure d’accompagner des assureurs et réassureurs africains encore réfractaires. Il est donc primordial de travailler sur une offre technique qui répondra aux besoins des entreprises africaines en accord avec les engagements que pourraient prendre les assureurs et réassureurs.
CIberObs : Quels sont les secteurs d’activités ayant le plus recours à la cyber assurance en Afrique ?
Ezechiel Symenouh : Avant toute chose, il faut noter que peu de secteurs en Afrique sont sensibilisés sur l’existence d’une police d’assurance cyber. Je pense fondamentalement qu’il faut mener un travail de sensibilisation au sein des différentes organisations pour changer la culture prégnante de la protection du matériel vers une couverture de l’immatériel. Il faudra également repenser l’approche dans la gestion du risque cyber au sein des entreprises en replaçant le RSSI au cœur des discussions au sein des comités de direction. Le risque cyber n’est plus qu’un risque technologique, c’est avant tout un risque stratégique et de gouvernance. Cela permettra de préparer les entreprises africaines à avoir une maturité en cybersécurité assurable une fois que le marché sera prêt à développer des solutions.
D’expérience, les entreprises qui ont recours à la cyber assurance en Afrique sont des entreprises fournissant des services essentiels à la nation comme le secteur financier, télécommunication, énergie. Ce sont des secteurs qui sont clés et exposés aux risques cyber compte tenu de leur dépendance au système d’information et du nombre de données collectées.
CIberObs : Merci d’avoir répondu à nos questions !