Cyber-assureurs : quels défis relever pour faire de la cyber-assurance un marché prometteur en France ?
Face à la recrudescence de la cybercriminalité, les professionnels et les particuliers s’interrogent de plus en plus sur ces nouveaux risques et la façon de s’en prémunir. Préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations et impose de nouvelles stratégies de réponse dans les grandes organisations. Dans ce paysage, des solutions nouvelles permettent de réduire les risques et parmi elles, nous retrouvons les cyber-assurances
Capter une préoccupation grandissante
La cyber assurance permet à une entreprise ou un particulier de se prémunir contre d’éventuels dommages immatériels subis suite à l’introduction, la suppression, le vol ou l’altération de données sur son système d’information. Au-delà du recouvrement des coûts liés à une attaque cyber criminelle, elle peut se distinguer des offres d’assurance par un apport immédiat d’expertise visant à restreindre l’impact de l’incident. La multiplication d’attaques toujours plus coûteuses d’une part et le renforcement des contraintes réglementaires d’autre part expliquent largement le regain d’intérêt que suscite actuellement la cyber assurance. Si seulement 17% des chefs d’entreprise se sentent exposés à la menace des cyber-attaques, 64% des particuliers sont ainsi enclins à s’assurer contre ce risque.
Pour autant, entre l’intention et l’action, un pas reste à faire : selon l’étude PwC Le marché de la cyber-assurance : la révolution commence maintenant, moins de 5% des entreprises françaises et environ 6% des particuliers seulement ont d’ores et déjà souscrit une assurance de ce type. Le taux d’équipement est quant à lui nettement plus élevé du côté des grandes entreprises du CAC 40 parmi lesquelles 10 sont déjà couvertes et 9 autres ont entamé la démarche.
Cette forte hausse des demandes se traduisait en 2013 par une capacité du marché (montant maximum de couverture) évaluée à environ 20 millions d’euros par assureur et jusqu’à 100 à 150 millions d’euros en contrat multi-assureur.
Combler le déficit de notoriété et vulgariser les offres
Plus de 6 dirigeants sur 10 ne connaissent pas l’existence des assureurs ayant pris position sur ce marché embryonnaire ; et seulement un tiers de ces dirigeants ont déjà reçu une proposition commerciale visant à contracter une cyber-assurance.
Ayant connu un démarrage réel à partir des années 2012/2013, le marché français de la cyberassurance est été débroussaillé par des assureurs anglo-saxons (AIG, ACE, XL ou encore Beazley) qui disposaient du retour d’expérience des Etats-Unis. Puis l’offre s’est élargie avec l’arrivée d’acteurs plus traditionnels, comme Allianz, qui ont lancé des contrats spécifiques au risque cyber.
Les cyber-assureurs sont peu nombreux et proposent des offres jugées encore trop peu visibles. Ainsi, selon la même étude PwC, 11% des entreprises et 23% des particuliers considèrent que les offres de cyber-assurance ne sont pas suffisamment claires et compréhensibles. La conjonction de facteurs composant le cyber-risque – manque de données historiques sur les sinistres et les incidents, réticence des entreprises à partager l’information sur l’impact des cyber-attaques subies, évolution rapide et continue des nouvelles technologies rendant imprévisible le risque encouru – rend extrêmement difficile la tarification du « cyber risque ». En outre, en fonction de l’utilisation faite des systèmes d’information, les conséquences d’une cyber-attaque n’ont pas les mêmes conséquences pour une entreprise ou un particulier. L’étude réalisée par PwC donne toutefois une indication sur la propension à dépenser : 24% des français seraient prêts à consacrer entre 20€ et 50€ par an à une cyber-assurance.
Elargir des perspectives de marché favorables mais encore limitées
Le marché de la cyber assurance, bien que prometteur, nécessite de la part de ses acteurs d’en repousser les limites. D’abord, le niveau de technicité inhérent à ce marché constitue une première contrainte. Les techniques de cybercriminalité auront en effet toujours une longueur d’avance. Accompagnées du développement des objets connectés et de nouvelles technologies, les opportunités d’attaque croissent de façon exponentielle et exigent une remise en cause fréquente du calcul du sinistre maximum. Autre élément qu’il faut appréhender pour les acteurs de ce marché, la mesure de l’impact. Si la partie matérielle (les SI) est connue – donc aisément assurable –, les conséquences immatérielles et leur étendue sont difficiles à mesurer. Enfin, les cyber risques sont, par nature, transfrontaliers, et l’assurance doit alors couvrir l’ensemble des activités d’une entreprise potentiellement dans plusieurs pays où les réglementations sont diverses.
Porté par une demande en hausse, le marché français de la cyber assurance est en plein essor. Au cœur des défis que les cyber assureurs doivent relever pour pérenniser le développement de ce marché, les nouvelles technologies ont un rôle primordial à jouer. A la fois créatrice d’opportunités croissantes de cyberattaques, elles constituent également un outil privilégié de couverture de ces nouveaux risques.