En suisse, malgré une couverture controversée et un risque de faillite des assurances, la cyber assurance devrait doubler d’ici 2025. C’est, du moins, le dernier constat et les dernières prévisions de l’Association Suisse d’Assurances (ASA). Alors qu’en est-il du marché de l’assurance cyber en France ?
Le constat suisse : les cyber assureurs risquent la ruine
Bien qu’aucun d’entre eux n’ait communiqué le nombre de cyber polices qu’il a souscrites, en Suisse, de nombreux assureurs se sont déjà lancés dans la Cyber assurance. En effet, Swiss Life (via des entreprises partenaires), Helvetia, Axa, Zurich, La Mobilière, Generali et Allianz ont tous au moins une offre, soit pour les particuliers, soit pour les entreprises.
Mais selon Gabor Jaimes, responsable du domaine des cyber assurances à l’Association Suisse d’Assurances (ASA), « Une grande partie des recettes de primes est reversée dans les paiements de sinistres» faisant des cyber assurances un business très peu rentable pour le moment.
De surcroît, les dommages potentiels, selon l’ampleur de la cyberattaque, peuvent être si importants qu’ils menaceraient également l’existence des assureurs : « Un tel dommage global peut rapidement se chiffrer à des dizaines de milliards de francs et dépasser la capacité des assureurs et des réassureurs», précise Gabor Jaimes dans son entretien au Schweiz am Wochenende.
En France : le marché de la Cyber assurance gagne en maturité
En 2021, la 1re édition de l’étude Lucy (LUmière sur la CYberassurance) posait la question de l’assurabilité du risque cyber. En effet, après une année 2020 fortement déficitaire, les assureurs avaient semblé vouloir se retirer du marché.
Mais après avoir fortement baissé en 2020 et 2021, l’étude LUCY 2023 publiée par l’AMRAE note que le niveau des capacités souscrites a repris le chemin de la croissance. Ainsi, ce risque, qui semblait inassurable, a de nouveau attiré les assureurs en 2022.
Et, fin 2022, Après trois ans d’augmentation, les taux de prime ont semblé marquer le pas, incitant ainsi les entreprises à s’assurer à la hauteur de leur exposition au risque cyber. De leur côté, les PME ont suivi la même courbe d’apprentissage que les grandes entreprises et les ETI. L’assurance cyber pénètre progressivement toutes les strates du tissu économique français.
Ainsi, le marché de la cyber assurance semble avoir trouvé une forme d’équilibre. La hausse du taux de couverture des entreprises et la baisse de la sinistralité sont des signaux positifs, de nature à accélérer la croissance du marché.
L’équilibre fragile de la cyber assurance Française
Mais cet équilibre reste encore fragile ! En effet, le volume total de primes encaissées au titre de la garantie cyber en France est équivalent au coût d’un très gros sinistre cyber. Une attaque de grande ampleur suffirait donc à remettre cet équilibre en question.
Bien que la guerre d’Ukraine n’ait pas eu pour effet d’augmenter le nombre d’attaques cyber en France, rien ne dit que ce sera toujours le cas dans les mois ou les années à venir. De plus, un autre élément d’incertitude sur la sinistralité se présente : l’intelligence artificielle pourrait accroître l’intensité et la fréquence des attaques cyber. C’est pourquoi, les assureurs restent prudents à l’égard d’un risque encore volatil.
Signe de cette prudence, le Lloyd’s de Londres a décidé de modifier la couverture des actes de cyberguerre. Ces nouvelles conditions de souscription pourraient réduire l’appétence des entreprises à l’égard de l’assurance cyber.
« Pour améliorer l’attractivité des couvertures cyber, les assureurs ont intérêt à simplifier les process de souscription et à les adapter à la taille des entreprises. » conclut le rapport LUCY 2023
Lever la controverse des cyber assurance pour en faire un levier de résilience
« Le marché de l’assurance cyber, encore récent, peut constituer un levier de renforcement de la résilience des acteurs économiques. Les entreprises prennent progressivement conscience des conséquences du risque cyber. Surtout, l’essentiel du risque cyber est maîtrisable : 97 % des sinistres cyber couverts par une assurance ont donné lieu à une indemnisation inférieure à trois millions d’euros en 2021 », précise la Direction générale du Trésor dans son dernier rapport intitulé « Le développement de l’assurance du risque cyber ».
Mais le principe d’assurabilité des cyber-rançons est source d’incertitudes pour les entreprises. « En permettant la solvabilité des victimes, le remboursement des cyber-rançons pourrait contrevenir à l’ordre public en ce qu’il pourrait inciter à la commission d’infractions et serait susceptible de participer au financement d’organisations terroristes », précise le rapport de la DGT, tout en soulignant que la jurisprudence n’a pas encore tranché sur ce point.
Autre élément de flottement mis en avant : l’incertitude qui entoure la garantie implicite du risque cyber par les polices d’assurance traditionnelles (contrats d’assurance de responsabilité civile ou de dommages aux biens). « Du côté de l’assureur, la police n’ayant pas été initialement rédigée à cette fin, le calcul de la prime ne prend pas en compte la réalisation de la conséquence du risque […]. Du côté de l’assuré, l’entreprise fait face à une incertitude sur l’étendue des dommages couverts, ce qui peut avoir un effet sur la demande en décourageant la souscription de police d’assurance du risque cyber ».
Bien que certains assureurs aient entrepris un travail de clarification de leurs clauses, l’hétérogénéité des pratiques demeure un facteur de doute sur la réalité de la couverture du risque cyber des assurés. En outre, cela réduit la comparabilité des offres et peut générer des contentieux.
Le transfert de risques : un argument à éviter en cyber assurance
Un autre argument est avancé par certains spécialistes en défaveur de l’assurance cyber : le transfert de risque vers les assureurs cyber ne fait pas disparaître le risque lui-même.
L’un d’entre eux, Michel Juvin, expert en cybersécurité, le commente ainsi : « L’assurance cyber n’est qu’une couverture financière. Les directeurs financiers pensent qu’en transférant le risque à un assureur, ils s’en débarrassent, mais il n’en est rien dans la réalité. Lors d’une cyberattaque, l’impact sur les hommes et les organisations est bien réel, il y a un stress et une surcharge d’activité que rien ne pourra jamais remplacer. Cette notion de transfert de risque ne joue pas en faveur des RSSI ! »
« J’ai en tête le cas d’une entreprise qui dépense 100 000 euros en primes d’assurance cyber. Vous n’imaginez pas tout ce qu’il est possible de mettre en place avec cette somme en matière de cybersécurité », renchérit Michel Juvin. « Si vous sécurisez correctement vos données et vos applicatifs, vous n’avez pas besoin de prendre une assurance. En cas d’attaque, des systèmes dégradés permettent de fonctionner malgré tout, nous le voyons avec les hôpitaux ».
Cependant, Michel Juvin tempère ses propos concernant les petites entreprises qui, selon lui, sont les plus susceptibles de tirer profit d’une assurance cyber. « Elles n’ont pas toujours accès à l’écosystème de prestataires en cybersécurité dont les grandes entreprises bénéficient et qui permettrait de les protéger correctement. Les cyber assureurs peuvent permettre de faire le lien, d’apporter de l’analyse de risques et de trouver des partenaires pour réduire les risques de ces entreprises », conclut-il.
L’avantage concurrentiel de la cyber assurance d’Amazon
C’est dans ce contexte que mi-juin 2023, Amazon a annoncé, lors d’une conférence, lancer une offre d’assurance cyber pour les petites et moyennes entreprises (PME). Ainsi, après une réflexion de près de trois ans, AWS lance un programme de cyber assurance avec trois partenaires assureurs américains : Cowbell, Marsh et Resilience.
« Dans cette entreprise, nous avons l’habitude d’étudier les segments de marché et les technologies qui ont besoin d’être réinventés. Je dirais que le secteur de la cyber assurance a besoin d’être réinventé à l’ère du cloud. » a déclaré Ryan Orsi, un responsable d’AWS.
Mais, bien que le géant américain de l’e-commerce se concentre sur les PME américaines qui utilisent déjà ses solutions informatiques, son produit présente un avantage concurrentiel probablement majeur : il connaît tout ou partie des risques de ses clients.
En d’autres termes, AWS maîtrise de fait une partie des risques cyber de ses clients, ce qui, en théorie, devrait limiter, voire circonscrire, les menaces d’attaques numériques contre ces entreprises. Hors, les assureurs classiques doivent imposer des audits préalables, aussi fastidieux que chronophages, pour évaluer la vulnérabilité des entreprises.
« Des clients qui choisissent de tirer parti d’une infrastructure renforcée sur AWS, associés à un partenaire capable de guider et de mettre en œuvre la bonne posture de sécurité avec une cyber-assurance validée par AWS comme filet de sécurité : l’ensemble constitue une offre intouchable sur le marché », a estimé durant cette conférence l’un des partenaires d’AWS, le DG d’Innovative Solutions, Justin Copie.
Le véritable défi de la cyber assurance en France : la stabilisation
L’offensive d’Amazon avec sa nouvelle offre de cyber assurance fait non seulement écho à celles annoncées par Google et Microsoft dès 2021 mais répond également à une logique de marché, que l’un des principaux réassureurs mondiaux, Munich Re, a parfaitement souligné ainsi : « Compte tenu de la fréquence et de la gravité des cyberattaques, le déficit d’assurance est disproportionné. L’inadéquation entre la prise de conscience des risques, la mise en œuvre de mesures de protection et la nécessité d’augmenter les capacités pour les risques plus importants reste un véritable défi. »
En résumé, le secteur de la cyber assurance est un domaine complexe, qui s’adresse aujourd’hui presque exclusivement aux grandes entreprises mais certainement plus pour très longtemps.
En France, sa stabilisation dans les années qui viennent doit permettre de clarifier un certain nombre des clauses de ses contrats et de proposer au marché des prix tenant compte de l’ensemble des risques couverts. Le but étant que les assureurs comme les assurés s’y retrouvent et que cette stabilisation permette aux TPE et PME d’accéder à ce type de couverture.