En 2023, le marché de l’assurance des cyber-risques demeure plus que jamais incertain. Et pour cause : après avoir subi de très lourdes pertes en 2021, les compagnies d’assurances ont réagi en durcissant parfois drastiquement leurs conditions de souscription. Si certains secteurs sont plus concernés que d’autres – à l’image par exemple des télécommunications ou des finances –, tous sont concernés.
Fréquence et impact des attaques : deux phénomènes additionnés
Il faut dire que le contexte actuel est loin d’être clément. Selon le rapport 2023 Global Security Outlook, deux phénomènes s’additionnent. La nature de la cybermenace tout d’abord. Ces dernières années, celle-ci a évolué à la fois quantitativement et qualitativement. Dans son panorama de la cybermenace 2022, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) confirme le haut niveau des menaces déjà observé en 2021. L’an dernier, 40% des attaques par ransomwares ont concerné des TPE, PME et ETI, 23% des collectivités locales (mairies, régions…) et 10% des hôpitaux. Au niveau mondial, 48% des entreprises ont ainsi été touchées par un incident cyber ces 12 derniers mois, contre 37% en 2021. Quant à la nature des attaques, elle s’est transfigurée, passant par exemple de plus en plus par les périphériques, notamment les téléphones portables.
À cette évolution rapide et grandissante de la menace s’ajoute un second élément : l’instabilité internationale. La guerre en Ukraine a, elle aussi, eu un effet démultiplicateur sur les risques, désormais très liés au positionnement des États ainsi qu’aux dynamiques géopolitiques.
Une perte de valeur pour les entreprises
Ce double phénomène touche très directement les compagnies d’assurance dans leur capacité à apporter des garanties suffisantes à des prix raisonnables. Confrontées à des pertes majeures (à hauteur de 4 millions d’euros en moyenne pour les grandes entreprises attaquées), les assurances ont ces derniers mois restreint assez drastiquement leurs conditions. C’est ainsi que les primes des grands groupes ont été multipliées par deux (44,4%). Dans le même temps, la surface assurée s’est restreinte (de 4,4% à en croire l’étude 2022 de l’AMRAE, l’Association pour le Management des Risques et des Assurances de l’Entreprise). Démultiplication des primes et restriction du champ couvert par les primes… Ce double effet ciseau n’aura qu’un seul intérêt : celui de permettre au marché de retrouver un semblant d’équilibre. Encore faut-il que l’offre corresponde à la demande du marché.
Faut-il se satisfaire de cette situation ? En 2023, le marché de la cyberassurance se concentre sur les grands groupes, à hauteur de 82% selon l’AMRAE. Qu’en est-il des ETI et surtout de notre tissu de PME et de TPE, qu’on sait particulièrement développé en Europe ? Il n’est pas possible d’exclure de fait tout un pan de l’économie qui aura besoin de s’assurer pour dédommager des tiers en cas de sinistre cyber majeur ; en particulier si les services non rendus provoquent des pertes de vies humaines (une prédiction émise par le Gatner d’ici 2025).
Autre phénomène : l’ajout d’exclusions et de limites de responsabilités dans les contrats d’assurances amènent certaines entreprises, et singulièrement des grands groupes, à quitter le marché. Ainsi, selon le dernier rapport AXA Future Risks, sur 251 grandes entreprises ayant souscrit une cyber-assurance en 2020, 11 ont décidé d’y renoncer en 2021 (soit près de 5%)… Quant aux ETI ou aux PME, ils n’engagent tout simplement aucune démarche.
Un marché fragile, dans un contexte d’instabilité
On le voit bien : tel qu’il se déploie en 2023, le marché des cyber-risques se caractérise par un déficit d’approche globale, pour ne pas dire par une certaine fragilité. Pouvons-nous continuer sur cette voie ? Sans doute pas. Alors que le monde est de plus en plus instable, il semble important que toutes les entreprises puissent trouver une solution assurantielle. Il est également important que les compagnies d’assurances soient de leur côté en capacité d’assurer des bénéfices, ce qui suppose de trouver un compromis plus large que l’équilibre précaire sur lequel nous reposons aujourd’hui.
Dans ce débat, une question de fond demeure : celle de la modélisation. Les éditeurs de solutions devraient pouvoir y prendre part, apportant aux échanges un regard susceptible d’enrichir et de structurer le cadre contractuel existant.
Par Yann Fareau, Director of Business Development for EMEA South