Pour Thierry Derez (Covéa) : « nous avons besoin d’un marché de l’assurance des risques cyber plus mature » 

Une immaturité persistante

« Immature ». C’est le regard porté sur le marché cyber de l’assurance par Thierry Derez, président du CA du groupe assurantiel Covéa (MAAF, MMA, GMF), lors de son intervention au Forum INCYBER de Lille, le 31 mars 2026. En effet, si le coût mondial des cyberattaques reste difficile à évaluer, tant les estimations varient selon les méthodes (de 500 milliards par an à 1 500 milliards en 2025 pour Cyberdefense Magazine), il reste sans commune mesure avec le chiffre d’affaires de l’assurance cyber. Après un bond de 3 à 13 milliards de dollars entre 2017 et 2022, les primes annuelles connaissent depuis une croissance plus modérée, pour atteindre « 15 milliards de dollars par an ». À titre de comparaison, « l’assurance non-vie représente 4 300 milliards de dollars et l’automobile 1 700 milliards  ».  

Ce manque de maturité peut s’expliquer par plusieurs facteurs. D’abord, un déficit de notoriété : certains acteurs, notamment les plus petites entreprises, ignorent encore l’existence de polices d’assurance cyber. Le risque est aussi minimisé par beaucoup d’organisations, certains s’estiment suffisamment protégées et ne souscrivent alors à aucune assurance. De plus, contrairement à l’automobile, à la responsabilité civile ou à l’habitation, aucune juridiction n’impose à ce jour une couverture cyber, y compris pour les activités exclusivement en ligne. 

Une pandémie cyber 

Or, pointe Thierry Derez, « cette lenteur à acquérir une maturité contraste avec la rapidité foudroyante des progrès techniques ». Ces avancées accélèrent conjointement la numérisation de l’économie – donc l’exposition au risque – et les capacités de nuisance des cybercriminels. Le président de Covéa évoque « un choc entre deux temporalités : celle, immédiate, de l’innovation technologique, et celle, plus lente, de son adoption par l’économie ».

Le marché de l’assurance cyber apparaît ainsi largement sous-dimensionné face à son potentiel. La croissance spectaculaire annoncée au début des années 2020 n’a pas encore eu lieu. Pourtant, qu’elles soient soutenues institutionnellement par des puissances étrangères ou simplement l’œuvre de hackers cherchant une compensation financière, il ne se passe déjà plus un jour sans qu’une cyberattaque n’apparaisse dans les titres de presse, et n’impacte l’entreprise sur le long terme. En début d’année Free a notamment été sanctionné d’une amende de 42 millions d’euros par la CNIL, suite à une cyberattaque en 2024. Le risque est donc multiple : économique, réputationnel et surtout au long cours.

Thierry Derez souligne aussi la difficulté à circonscrire le risque cyber. Certes, le plus souvent, un cyberincident se limite à une seule organisation. Mais un assureur doit envisager les scénarios extrêmes : une cyberattaque pourrait frapper l’ensemble d’un pays ou d’une région, comme s’y prépare par des exercices grandeur nature l’ANSSI, l’agence officielle de l’État dans la lutte pour la cyber-criminalité. « Par nature, le risque cyber est systémique, comparable à une pandémie », insiste-t-il. 

« Contrairement aux risques classiques (incendie, inondation) généralement circonscrits à des sites géographiques précis, une attaque cyber peut frapper simultanément les assurés et les assureurs. En cas d’attaque massive, le cumul des sinistres pourrait empêcher les assureurs d’assurer leurs services (assistance, remédiation), même si leur solvabilité n’est pas remise en cause », détaille le président de Covéa.

Un « défi majeur » pour les assureurs

Une attaque systémique pourrait même paralyser la capacité des assureurs à gérer d’autres sinistres. « C’est un défi majeur pour notre métier traditionnel en aval », reconnaît Thierry Derez. Convaincre les organisations de s’assurer contre un risque potentiellement dévastateur – le taux de défaillance d’une organisation augmente fortement après une cyberattaque – tout en intégrant sa dimension systémique : c’est à cette condition que le marché gagnera en maturité.