Assurance cyber : un marché en plein essor

Longtemps sous-estimé, le cyber-risque est désormais la principale préoccupation des grandes entreprises qui ont mis en place des mesures pour s’en protéger et maîtriser son impact sur leur activité.

Longtemps sous-estimé, le cyber-risque est désormais la principale préoccupation des grandes entreprises qui ont mis en place des mesures pour s’en protéger et maîtriser son impact sur leur activité.

En mai et juin 2017, des milliers d’ordinateurs dans près de 150 pays ont été infectés par les ransomwares WannaCry ou NotPetya, des logiciels malveillants qui verrouillent et cryptent les fichiers des utilisateurs et les forcent à payer une rançon pour les récupérer. Renault, les hôpitaux britanniques, FedEx ou encore Saint-Gobain figurent parmi les victimes de ces cyber-attaques de grande ampleur. Difficile cependant de chiffrer les pertes financières subies par ces entreprises, mais elles pourraient atteindre plusieurs millions d’euros. De quoi inciter les dirigeants à souscrire une assurance spécifique afin de réduire les conséquences financières d’une attaque cyber.

L’essor des assurances cyber

Si les grands groupes ont déjà mis en œuvre des mesures concrètes de protection de leurs systèmes d’information, ce n’est pas encore le cas des petites et moyennes entreprises. Dans son rapport datant de 2018 présentant un ensemble de recommandations pour assurer le risque cyber, la commission cyber risk du Club des juristes révèle qu’en France et en Europe, « le marché de l’assurance cyber progresse mais demeure embryonnaire ». L’Europe représenterait actuellement environ 10 % du marché mondial de la cyber-assurance quand les États-Unis captent près de 90 % des primes ! Cela s’explique sans nul doute par le fait que les premières garanties cyber soient apparues outre-Atlantique dès les années 1990. Elles ont néanmoins connu des difficultés à attirer les entreprises qui ne voyaient alors pas encore les dangers d’Internet. Le marché reste cependant toujours restreint, même s’il devient attrayant depuis quelques années maintenant. « En 2008, on comptait à peine une dizaine d’acteurs proposant des contrats cyber en France », indique Laure Zicry, Head of Cyber western Europe de Willis Towers Watson dans les colonnes du magazine de l’Amrae, Atout Risk, au printemps 2019. Désormais, on dénombre une trentaine d’assureurs qui se sont lancés sur ce créneau. En 2018, le marché de l’assurance cyber était estimé à 4 milliards de dollars de primes brutes émises au niveau mondial. Selon le réassureur allemand Munich Re, il devrait atteindre les 20 milliards de dollars d’ici à 2025 ! De son côté, la France fait pâle figure avec ses 80 millions d’euros de primes en 2018.

Les entreprises françaises s’assurent

D’après un sondage Opinion Way publié début 2019 pour le Club des experts de la sécurité de l’information et du numérique (Cesin), 50 % des entreprises interrogées disent avoir souscrit une cyber-assurance en 2018 (contre 25 % en 2016 et 40 % en 2017). Au vu de ces résultats, les assureurs français et européens ont bien compris qu’ils avaient un marché à prendre, longtemps occupé par les acteurs anglo-saxons ou américains du secteur. Ainsi, en France, Matmut, Axa, Groupama et Generali, pour ne citer qu’eux, se sont tous engouffrés dans la brèche et proposent désormais des offres d’assurance cyber à destination des entreprises. Toutefois, si les grands groupes ont bien saisi l’importance de prendre la menace cyber à bras le corps, les ETI et les PME ne se sentent pas encore assez concernées par le sujet, à tort. L’un des rôles de l’assureur est donc de les sensibiliser aux risques technologiques et à leurs conséquences qui peuvent être désastreuses pour elles.

Un marché complexe

La demande d’assurance cyber est en hausse et les enjeux sont grands pour les compagnies d’assurance. Ces dernières n’ont donc pas d’autre choix que de s’adapter aux besoins de leurs clients en proposant des contrats spécifiques. Mais difficile pour les entreprises de comparer les contrats proposés. Ainsi, sept grands assureurs ont accepté de décrypter leur offre cyber pour l’Amrae (Atout Risk n°20 – Printemps 2019), à savoir Allianz CS, AIG, Axa XL, Beazley, Hiscox, QBE et Zurich. L’Association note que « si l’analyse des grilles montre une certaine homogénéité dans les risques couverts, les capacités ainsi que les exclusions et le franchises diffèrent ». Et d’ajouter : « Tous ne proposent par exemple pas le remboursement des rançons que les entreprises verseraient en cas de prise en otage de leurs données. » La couverture peut également inclure la responsabilité civile professionnelle, l’indemnisation pour pertes d’exploitation en cas d’interruption d’activité, les frais de récupération ou de reconstitution des données ou encore les frais de défense en cas de réclamation d’un tiers.

© Rawpixel.com

Les courtiers et assureurs ont par ailleurs développé des services de prévention et d’assistance. « Ces [derniers] font vraiment la différence. Souvent confiés à des prestataires spécialisés, ils sont pertinents autant pour les petites entreprises que pour les grandes, en complément de leurs dispositifs internes » estime Jean Bayon de la Tour, responsable cyber de Marsh Europe, dans les colonnes d’Atout Risk. Cela passe majoritairement par de la formation mais également par la présentation d’outils de cyber-sécurité.

La difficile estimation des coûts

Difficile cependant d’estimer le coût des incidents cyber. Mais une chose est certaine, son montant global demeure très inférieur à celui d’autres grands risques tels que les dernières catastrophes naturelles qui ont frappé de nombreuses parties du monde ces dernières années. Ce qui préoccupe les assureurs comme les entreprises est l’incertitude liée aux pertes potentielles futures dues à des attaques informatiques simultanées ou de grande ampleur. Pour être assurable, il est impératif d’effectuer une estimation des pertes associées à un risque et une modélisation de ces dernières grâce à l’analyse des séries historiques des événements passés. Or, les cyber-risques étant une menace récente, les assureurs ne disposent pas d’un historique ni d’une base de données actuarielles assez riche pour réaliser des estimations précises. En effet, rares sont les entreprises qui révèlent qu’elles ont été victimes de cyber-attaques et qui acceptent d’en parler publiquement, même si cela tend à changer depuis quelques mois. Les seules bases statistiques disponibles sont celles publiées par des organismes privés de conseil ou d’édition de solutions en cyber-sécurité, ce qui peut biaiser les résultats, notamment en raison de l’échantillon statistique constitué de leur unique clientèle. Insuffisant donc pour les compagnies d’assurance qui manquent d’une source d’information fiable, même si cela devrait évoluer dans le bon sens dans les années qui viennent. L’assurance cyber a donc un bel avenir devant elle.

Margaux Savarit-Cornali

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Risk Management & Assurance 2020

Retrouvez notre dossier issu du Guide-annuaire Risk Management & Assurance 2020
Sommaire
Lecteurs de Décideurs Juridiques : construisons ensemble la nouvelle formule !

Lecteurs de Décideurs Juridiques : construisons ensemble la nouvelle formule !

Votre magazine Décideurs Juridiques évolue et va bientôt adopter une nouvelle formule. Chaque jour, vous recevrez de nos nouvelles si vous nous donnez...

WW Associés : l’alliance de l’IP et du pénal

WW Associés : l’alliance de l’IP et du pénal

En s’associant, la spécialiste de la propriété intellectuelle Isabelle Laratte et la pénaliste Jade Dousselin constituent une offre inédite sur le mar...

Delcade ouvre un nouveau bureau à Lille

Delcade ouvre un nouveau bureau à Lille

Dans le cadre de sa stratégie de développement, Delcade étend son offre à Lille en ouvrant un nouveau bureau sous la houlette de Frédérique Sallée et...

Bâtonnat 2022 : les projets du binôme Julie Couturier/Vincent Nioré

Bâtonnat 2022 : les projets du binôme Julie Couturier/Vincent Nioré

C’est un duo formé par une civiliste et un pénaliste qui se présente devant les avocats parisiens. Julie Couturier est avocate depuis 1995. Elle exerc...

Bâtonnat 2022 : les projets du binôme Xavier Autain/Clotilde Lepetit

Bâtonnat 2022 : les projets du binôme Xavier Autain/Clotilde Lepetit

Les deux pénalistes Xavier Autain et Clotilde Lepetit forment un des deux duos pour les élections au bâtonnat 2022 de Paris. Candidat au poste de bâto...

Les notaires ont désigné leur nouveau président

Les notaires ont désigné leur nouveau président

À 50 ans, David Ambrosiano prend la tête du Conseil supérieur du notariat. Il vient de dérouler sa feuille de route pour son mandat de deux ans.

A. de Braux (Cercle Montesquieu) : "Il ne s’agit pas d’aider que les grands groupes du CAC 40"

A. de Braux (Cercle Montesquieu) : "Il ne s’agit pas d’aider que les grands groupes du CAC 40"

Amélie de Braux, co-responsable de la Factory du Cercle Montesquieu a pris part, aux côtés de la grande famille du droit, à la mise en place d’un nouv...

Carbonnier Lamaze Rasle crée un pôle restructuring/distressed M&A

Carbonnier Lamaze Rasle crée un pôle restructuring/distressed M&A

Carbonnier Lamaze Rasle accueille deux anciens associés du cabinet Poulain : Amandine Rominskyj et Antoine Poulain. Ils auront la charge d’un nouveau...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte