Le marché de la cyber assurance en quête de maturité

Le marché de la cyber assurance est un marché émergent. En 2021, il était estimé à 219 millions d’euros, soit 3,1 % du total des cotisations de l’assurance des dommages aux biens des professionnels (7,07 milliards d’euros en 2021) et 0,35 % du chiffre d’affaires des assurances de biens et responsabilité. Sur ce dernier segment, sa croissance est rapide. Le volume des cotisations a ainsi augmenté de 52 % en 2021, ce qui constitue la progression la plus dynamique du marché, selon les données de France Assureurs.

En pleine structuration, le marché de l’assurance cyber est encore loin d’avoir atteint sa maturité. Après une année 2020 déficitaire (ratio Sinistres / Primes de 167 %), ce marché est redevenu équilibré en 2021 avec un ratio de 88 % pour l’ensemble des entreprises. Cela s’est fait au prix d’augmentations tarifaires, d’un durcissement des conditions de souscription et donc d’un recul très net de la couverture assurantielle, selon la deuxième édition de l’étude LUCY (« LUmière sur la CYberassurance ») consacrée à la couverture assurantielle du risque cyber en France menée par l’AMRAE.

« Pour l’industrie de l’assurance, ce redressement a porté ses fruits : le segment des grandes entreprises est devenu largement bénéficiaire. Mais il a aussi fait fuir 4,4 % des groupes précédemment assurés, qui ont préféré trouver d’autres solutions de couverture du risque cyber », analyse Philippe Cotelle, administrateur de l’AMRAE et président de sa commission Cyber, vice-président de Ferma et Risk Manager d’Airbus Defence & Space.

Cette baisse de 4,4% du taux de couverture des grandes entreprises signifie que sur les 251 grandes entreprises qui avaient souscrit une police cyber en 2020, 11 ont renoncé à le faire en 2021. Le chiffre peut sembler anecdotique, mais sur un marché qui devrait encore être en croissance, « C’est un signal très fort », estime Philippe Cotelle.

Une potentielle crise de confiance de la part des entreprises

Les entreprises de taille intermédiaires (ETI) suivent aujourd’hui le même chemin fluctuant, avec un an de décalage sur les grandes entreprises : leur ratio S/P fortement dégradé en 2019 (481 %) est revenu dans le vert en 2020 (85 %) avant de replonger dans le rouge en 2021 (261 %). « Ces entreprises peuvent donc s’attendre au même traitement que les grandes entreprises lors de leurs renouvellements 2022, avec une très forte augmentation des taux de primes doublée d’un durcissement sévère des conditions de souscription », analyse Philippe Cotelle.

Une autre étude de l’AMRAE, publiée fin octobre 2022 et intitulée « État du Marché & Perspectives 2023 – Assurances des Entreprises », confirme la hausse générale de la tarification des assurances cyber. « Globalement, la tarification a augmenté en moyenne de plus de 60 %, voire beaucoup plus pour certains comptes », avancent les auteurs de cette étude.

L’ensemble de ces événements est susceptible de provoquer, selon l’étude LUCY, une crise de confiance de la part des entreprises. « Cette crise de confiance pourrait amener les grandes entreprises à explorer des pistes complémentaires à la couverture assurantielle : l’auto-assurance pour gérer le risque de fréquence ; la mutualisation inter-entreprises pour augmenter le niveau des capacités et réduire le risque de volatilité lié aux sinistres d’intensité, etc. ».

L’assurance cyber, levier de résilience, essentiellement pour les grandes entreprises

Malgré tout, l’assurance cyber trouve son public, principalement auprès des grandes entreprises qui assument à elles seules 82 % du volume des primes versées au titre de cette garantie. En 2021, le taux de couverture des entreprises réalisant plus de 1,5 milliard d’euros de chiffre d’affaires était de 84 %. Il tombe cependant à 9 % pour les ETI et à 0,2 % pour toutes les autres catégories (PME, petites et micro-entreprises), selon les chiffres de l’étude LUCY.

« Le marché de l’assurance cyber, encore récent, peut constituer un levier de renforcement de la résilience des acteurs économiques. Les entreprises prennent progressivement conscience des conséquences du risque cyber. Surtout, l’essentiel du risque cyber est maîtrisable : 97 % des sinistres cyber couverts par une assurance ont donné lieu à une indemnisation inférieure à trois millions d’euros en 2021 », précise la Direction générale du Trésor dans son dernier rapport intitulé « Le développement de l’assurance du risque cyber ».

Des incertitudes juridiques qu’il faut lever rapidement

Mais parmi les actions préconisées dans le rapport de la Direction générale du Trésor, une mesure suscite de nombreux débats au sein de la communauté cyber et assurantielle : l’affirmation de l’assurabilité des cyber-rançons (conditionnée à un dépôt de plainte, ce qui permet d’améliorer les opérations d’investigation des autorités compétentes, tout en renforçant l’accompagnement des entreprises victimes).

Le principe d’assurabilité des cyber-rançons est source d’incertitude pour les entreprises. « En permettant la solvabilité des victimes, le remboursement des cyber-rançons pourrait contrevenir à l’ordre public en ce qu’il pourrait inciter à la commission d’infractions et serait susceptible de participer au financement d’organisations terroristes », précise le rapport de la Direction générale du Trésor, soulignant que ce point n’a pas encore été tranché par la jurisprudence.

Autre point de flottement mis en avant par la Direction générale du Trésor : l’incertitude entourant la garantie implicite du risque cyber par les polices d’assurance traditionnelles (contrats d’assurance dommages aux biens ou de responsabilité civile). « Du côté de l’assureur, la police n’ayant pas été initialement rédigée à cette fin, le calcul de la prime ne prend pas en compte la réalisation de la conséquence du risque […]. Du côté de l’assuré, l’entreprise fait face à une incertitude sur l’étendue des dommages couverts, ce qui peut avoir un effet sur la demande en décourageant la souscription de police d’assurance du risque cyber ».

Même si certains assureurs ont entrepris un travail de clarification de leurs clauses, l’hétérogénéité des pratiques demeure un facteur de doute sur la réalité de la couverture du risque cyber des assurés. Cela réduit en outre la comparabilité des offres et peut générer des contentieux.

Éviter l’argument du transfert de risques

Un autre argument en défaveur de l’assurance cyber est avancé par certains spécialistes, dont Michel Juvin, expert en cybersécurité, fait partie : le transfert de risque vers les assureurs cyber ne fait pas disparaître le risque lui-même.

« L’assurance cyber n’est qu’une couverture financière. Les directeurs financiers pensent qu’en transférant le risque à un assureur, ils s’en débarrassent, mais il n’en est rien dans la réalité. Lors d’une cyberattaque, l’impact sur les hommes et les organisations est bien réel, il y a un stress et une surcharge d’activité que rien ne pourra jamais remplacer. Cette notion de transfert de risque ne joue pas en faveur des RSSI ! », commente l’expert en cybersécurité.

« J’ai en tête le cas d’une entreprise qui dépense 100 000 euros en primes d’assurance cyber. Vous n’imaginez pas tout ce qu’il est possible de mettre en place avec cette somme en matière de cybersécurité », renchérit Michel Juvin. « Si vous sécurisez correctement vos données et vos applicatifs, vous n’avez pas besoin de prendre une assurance. En cas d’attaque, des systèmes dégradés permettent de fonctionner malgré tout, nous le voyons avec les hôpitaux ».

Michel Juvin tempère cependant ses propos quand il s’agit des petites entreprises. Ces sociétés sont selon lui les plus susceptibles de tirer profit d’une assurance cyber. « Elles n’ont pas toujours accès à l’écosystème de prestataires en cybersécurité dont les grandes entreprises bénéficient et qui permettrait de les protéger correctement. Les cyber assureurs peuvent permettre de faire le lien, d’apporter de l’analyse de risques et de trouver des partenaires pour réduire les risques de ces entreprises », conclut-il.

Le secteur de l’assurance cyber est un domaine complexe, qui s’adresse pour le moment presque exclusivement aux grandes entreprises. Sa stabilisation dans les années qui viennent permettra de clarifier un certain nombre des clauses de ses contrats et de proposer au marché des prix tenant compte de l’ensemble des risques couverts, afin que les assureurs et les assurés s’y retrouvent. Gageons que cette stabilisation permettra aux PME et TPE d’accéder à ce type de couverture.