![[Résilience Cyber] : nouveau cap pour les entreprises et leurs assureurs](https://incyber.org//wp-content/uploads/import/post/2023/05/france-le-marche-de-lassurance-cyber-en-hausse-de-72-2160x735.jpg)
Résilience Cyber : nouveau cap pour les entreprises et leurs assureurs
Transformation du marché de l’assurance cyber
La menace cyber n’a en effet jamais été aussi grande avec une augmentation de 15 % des incidents signalés en 2024 en France par rapport à l’année précédente, selon l’ANSSI. Paradoxalement, les observateurs notent un récent assouplissement du marché de l’assurance cyber avec une plus grande accessibilité pour les entreprises. Les données issues des études LUCY (LUmière sur la CYberassurance) confirment cette évolution.
Après une forte sinistralité et un déficit prononcé en 2020 ayant remis en cause l’assurabilité même des risque cyber, les entreprises ont subi une phase de hard market : durcissement des conditions de souscription, augmentation des primes, envol des franchises, diminution des capacités. En 2022, le marché de l’assurance cyber avait alors gagné en maturité, et la réduction des sinistres s’amorçait et se prolongeait jusqu’à l’année suivante, tant en fréquence qu’en intensité.
Alors même que les incidents cyber se multiplient, cette sinistralité en baisse reflète les efforts de prévention menés par les entreprises assurées et l’amélioration de leurs capacités à répondre aux attaques. En un mot, leur résilience.
La marge de progression demeure néanmoins immense. Certes le volume de primes collectées pour l’assurance cyber sur le marché français a fait un bond de 87 millions d’euros en 2019 à 328 millions d’euros en 2023.
Mais le risque cyber ne représente que 0,47 % des 70 milliards d’euros des primes du marché tricolore de l’assurance de biens et de responsabilités. Et si 98 % des grands groupes sont assurés pour ces risques, c’est seulement 3 % des PME…
Évolution des menaces et des réglementations
Les assureurs doivent continuellement prendre en compte les nouvelles sources de mobilisation de leurs garanties, en raison de l’évolution tant de la menace cyber que du cadre réglementaire. La mutation de la menace cyber est permanente, avec notamment l’usage de l’intelligence artificielle qui vient alimenter des attaques toujours plus ciblées et sophistiquées. À noter que les attaques par ransomwares ou rançongiciels – la majorité des incidents en France – évoluent vers des stratégies d’extorsion combinant chiffrement des données et menaces de divulgation.
Le Panorama de la cybermenace 2024 publié par l’ANSSI, alerte également sur les attaques via la chaîne d’approvisionnement logiciel et par les prestataires de services informatiques. Une illustration a encore été donnée très récemment avec la cyber-attaque ayant frappé l’éditeur de logiciel Harvest. Tout l’écosystème des conseillers en gestion de patrimoine, banques privées et gestionnaires de fortune s’est retrouvé plongé dans le noir : perte d’accès à leurs informations financières et possible compromission des données de leurs clients.
Quant au cadre juridique, l’article L.12-10-1 du Code des assurances, introduit en 2023, conditionne désormais l’indemnisation de l’assuré au dépôt de plainte dans les 72 heures suivant la connaissance de la cyber-attaque. En outre, de nouvelles exclusions fleurissent : les cyber-attaques étatiques, comme celles attribuées à des groupes soutenus par des gouvernements, sont désormais hors du champ de la quasi-totalité des polices d’assurance. S’agissant des sanctions financières susceptibles d’être prononcées par la CNIL, par exemple en cas de contrôle à la suite d’une cyber-attaque, le gendarme de l’assurance (ACPR) a décrété très récemment qu’elles seraient inassurables.
Les produits d’assurance cyber en constante évolution sont également impactés par les nombreuses réglementations européennes. La résilience numérique est le nouveau paradigme fixé tant par la directive NIS2 qui s’applique à un très grand nombre d’entités importantes ou essentielles du tissu économique ou administratif, que par le règlement DORA qui s’impose aux institutions financières.
Ces nouvelles réglementations sont également sources de nouvelles responsabilités. À titre d’exemple, la nouvelle directive sur les produits défectueux prévoit que les logiciels et les systèmes d’intelligence artificielle engageront bientôt la responsabilité de leur producteur s’ils n’offrent pas la sécurité attendue.
Mutation du modèle assurantiel
Ces évolutions dessinent une nouvelle cartographie du risque pour les assureurs, qui doivent non seulement suivre la mutation permanente de la menace cyber, mais aussi intégrer les implications juridiques de cette transformation numérique accélérée.
La quantification du risque cyber demeure pourtant difficile. Contrairement aux catastrophes naturelles, les cyber-attaques n’offrent pas de données historiques fiables, tandis que leur nature évolutive et leur potentiel systémique rend les modèles actuariels fragiles. En réponse à cette complexité, les assureurs et les courtiers spécialisés affinent leurs modèles. L’intelligence artificielle est alors employée comme un outil d’analyse des vulnérabilités des entreprises permettant de modéliser les expositions potentielles. La stratégie sélective des assureurs passe également par des audits de cybersécurité devenus la norme. Les entreprises trop exposées et/ou insuffisamment préparées sont parfois exclues de la couverture, ou doivent se plier à des exigences de mise à niveau.
Cette transformation traduit une réalité : la résilience ne peut être déléguée à l’assurance seule. Elle repose d’abord sur une posture proactive des entreprises. L’assurance cyber devient alors un partenaire de la résilience, en renforçant les défenses avant la crise, en accompagnant la réponse à incident, et en facilitant le rebond.