Lors des 29èmes Rencontres des Risk Managers s’étant tenues en février à Deauville, l’AMRAE avait déploré une couverture insuffisante des risques Cyber de la part des assureurs, envisageant des pistes alternatives.
C’est désormais du concret à l’échelle européenne : plusieurs grandes entreprises du continent ont créé leur propre mutuelle d’assurance, dont la mission principale sera de couvrir les risques Cyber. Traduisant un décalage entre les besoins des entreprises et les offres des assureurs traditionnels, cette initiative traduit aussi l’importance croissante des Risk Managers dans la politique des entreprises.
Un projet commun de grandes entreprises européennes
Créée en avril dernier et basée en Belgique, la société d’assurance mutuelle MIRIS attend actuellement l’obtention de sa licence pour opérer à partir de Bruxelles et offrir une couverture informatique européenne et mondiale à ses membres. Objectif affiché : rendre la mutuelle opérationnelle d’ici le 1er janvier 2023.
De très grands groupes sont à l’initiative du projet :
- l’Allemand BASF, plus grand groupe chimique du monde
- le groupe chimique belge Solvay
- de grandes entreprises françaises telles qu’Airbus, Sonepar, Veolia Environnement, Michelin ou encore le groupe Adeo, maison-mère de Leroy Merlin.
Sur son site Internet, Miris déclare être « un assureur européen ne pouvant accepter que des membres de l’UE et de l’EEE. Sa demande de licence concerne l’assurance directe, mais son domicile en Belgique lui permet également d’accepter la réassurance entrante si nécessaire. Miris peut couvrir les activités de ses membres dans le monde entier au travers de polices émises en Europe. Elle a fait l’objet d’un examen antitrust rigoureux pour s’assurer que les activités des membres en dehors de l’Europe n’enfreignent pas les réglementations locales en matière de concurrence. » Miris démarrera en effet avec un capital conforme aux attentes de Solvabilité II, et prévoit d’appliquer un modèle de souscription dit « rigoureux »
Une réponse aux difficultés de couverture des risques Cyber par les assureurs
Evoquant ce projet, Philippe Cotelle, directeur de l’Assurance Cyber et du management des risques assurantiels au sein d’Airbus Defense & Space, a clairement pointé les couvertures insuffisantes des assureurs traditionnels : « à l’heure actuelle, le marché de l’assurance Cyber est volatil et court-termiste, les assureurs ne souhaitant pas s’engager sur leurs capacités futures. Or, c’est problématique car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités ».
De son côté, Miris fonctionnera comme une mutuelle de capitalisation qui ne couvrira que les risques de ses sociétaires. Au cours des deux premières années, les capacités allouées à chaque membre pourront se chiffrer jusqu’à 25 millions d’euros : il est prévu que Miris se « co-assure » avec le marché de l’assurance, suivant les conditions de l’assureur principal pour les textes et les prix du marché. Son niveau minimum sera de 10 millions d’euros, ce qui lui permettra d’intervenir en première ligne là où les assureurs peinent à répondre. La mutuelle a d’ores et déjà indiqué qu’elle envisageait la possibilité d’augmenter sa capacité à 30 millions d’euros à partir de la troisième année.
La création de Miris intervient dans un contexte où les demandes d’assistance dans le cadre d’attaques informatiques par rançongiciel ont augmenté de plus de 85 % en France l’année dernière. En parallèle, à titre d’exemple depuis le 1er janvier 2022, l’assureur Generali a étendu aux grands comptes son refus de payer les rançons cyber, y compris pour les contrats en coassurance alors que ce refus était jusqu’alors limité aux TPE et PME. « Nous ne nous sommes pas construits en opposition au marché de l’assurance mais pour travailler main dans la main. Nous sommes là pour apporter des solutions là où les assureurs sont absents », tempère cependant le risk manager d’une des entreprises à l’initiative du projet.
Des réactions contrastées
Cette initiative a été saluée par les associations de Risk Managers, que ce soit Ferma au niveau européen, ou l’AMRAE en France, qui voit ainsi confortées ses prises de positions énoncées aux Rencontres de Deauville. Le président de l’AMRAE Oliver WILD avait en effet adressé un message clair aux assureurs lors de son discours d’ouverture du 2 février : « pour être utiles, Il faut arrêter de vider la mer avec des seaux, et conjuguer la prévention des risques au temps présent. Dans les semaines qui viennent, d’autres initiatives innovantes seront dévoilées. Un indice ? La nature ayant horreur du vide, les Risk Managers s’organisent. Ils collaborent pour développer les outils indispensables à nos organisations. Et c’est un élan tangible qui s’annonce. »
A vrai dire, les Risks Managers planchaient sur trois types de solutions :
- création d’un pool d’acheteurs
- mise en place d’un groupement d’intérêt économique
- création d’une mutuelle avec domiciliation européenne
C’est cette dernière solution qui s’est concrétisée. En février, ce débat avait pourtant suscité l’incrédulité des assureurs et des courtiers, qui avaient affiché leur scepticisme sous couvert d’anonymat : « il est permis de rêver mais je ne crois absolument pas à ces pistes qui ont déjà été explorées par le passé par l’AMRAE sur des risques industriels notamment, et qui n’ont jamais rien donné », ironisait ainsi un courtier.
Un autre courtier avait affirmé que le salut devait venir de l’Etat : « lorsque le marché ne trouve pas de solution à un risque, c’est à l’Etat d’entrer dans le jeu comme sur le régime CATNAT ou Gareat pour le terrorisme ». Une position aux antipodes de celle d’Oliver WILD : « aucun État ne pourra plus porter seul les prochaines crises systémiques. Anticipons, pour que sur notre court horizon, il ne puisse être dit : on vous avait prévenu » A noter qu’Oliver WILD siège lui-même au Conseil d’Administration de Miris, en tant que Directeur des risques et assurances chez Veolia Environnement.