Avec la recrudescence des cyberattaques, de plus en plus d’entreprises françaises choisissent d’utiliser une couverture dédiée. Mais, dans un marché loin d’être mature, la démarche relève parfois du parcours du combattant, sauf pour les très grands groupes.
Plus d’une entreprise française sur deux (54%) a fait l’objet d’une cyberattaque en 2021. C’est le constat alarmant dressé dans un récent rapport de la Direction générale du Trésor, qui portait sur l’évolution du risque cyber-assurantiel. . Un risque cyber protéiforme, qui est étroitement lié à l’utilisation croissante des technologies numériques et qui peut résulter d’une erreur humaine au sein de l’entreprise visée et d’une véritable attaque informatique : malwares, tentatives de phishing et autres ransomwares font désormais partie intégrante des préoccupations des entreprises de sécurité. . , quelle que soit leur taille ou leur secteur d’activité. Paradoxalement, cette augmentation exponentielle du risque cyber, alimentée par la crise sanitaire, le recours au télétravail ou la guerre en Ukraine, n’a pas conduit à une augmentation similaire de la couverture de ces risques spécifiques : pourtant, selon le Trésor, le Risque cyber. Il n’est aujourd’hui pas égal à 3% des cotisations d’assurance dommages des professionnels.
Comment expliquer cette dis-corrélation ? Cela repose, tout d’abord, sur les difficultés que les entreprises rencontrent souvent pour accepter ce risque particulier – une opinion particulièrement pertinente pour les PME françaises, dont seulement 0,0026% sont actuellement couvertes contre le risque cyber, contre 87% des grandes entreprises . Du côté des assureurs, les réticences sont également de mise, bien que le nombre de demandes d’indemnisation ait triplé entre 2019 et 2020, avec un ratio sinistres/primes à 167% contre 84% l’année précédente. Quant à ce dernier, le compte n’y est pas, d’autant plus qu’une cyberattaque a tendance à « déborder » : non seulement le système informatique de l’entreprise visée est impacté, mais elle peut aussi avoir sa réputation, son cours de bourse ou ses parts de marché – comme on le voit, par exemple avec les 250 millions de pertes subies par Saint-Gobain après une cyberattaque en 2017. Autant d’aspects qui en font un domaine d’expertise particulier du risque cyber, et la cyberassurance est un modèle extrêmement complexe pour l’industrie.
Rapprochement assureurs-réassureurs, cyber-assurance « maison »… : les pistes avancées
En effet, comme le soulignait la députée Valeria Faure-Muntian dans un rapport publié en octobre, le marché français de la cyberassurance reste encore à structurer. Entre-temps, de nombreux grands groupes ont décidé de s’y attaquer eux-mêmes, en lançant leur propre compagnie d’assurance dédiée au risque cyber. Airbus, Michelin, Veolia, Sonepar ou l’allemand BASF ont ainsi annoncé, fin septembre, leur intention de mutualiser leurs risques cyber au sein d’une nouvelle structure, baptisée Miris, dont ils contestent qu’elle ne soit pas destinée à remplacer les assureurs mais à assurer. leur couverture : « nous ne voulons pas remplacer les assureurs par les assureurs », insiste le représentant d’Airbus, « mais collaborer en complétant l’offre dont ils disposent dans une démarche de coassurance ». Les membres fondateurs de Miris ont apporté 5 millions d’euros sur la table, pour une éventuelle couverture individuelle de 25 millions d’euros.
L’initiative doit cependant encore recevoir l’aval du régulateur, avant que ses concepteurs espèrent publier ses premières politiques d’ici début 2023. Elle témoigne à la fois d’un sentiment d’urgence et d’une certaine nervosité. acteurs économiques contre l’attentisme d’un monde de l’assurance qui peine – honteusement – à les rassurer. A court terme, la solution pourrait toutefois venir d’une démarche de rapprochement entre assureurs français et réassureurs étrangers, en misant sur l’internationalisation pour couvrir les risques transfrontaliers – ce qui arrive souvent avec les risques cyber. Par exemple, le rapprochement entre la mutuelle française Covéa (MAAF, GMF, MMA) et le réassureur bermudien PartnerRe, qui développe une capacité d’observation globale de ces risques transnationaux, permettra au leader français des mutuelles de s’appuyer sur l’expertise de PartnerRe analyse des risques internationaux pour assurer ses propres clients contre les cyberattaques.
De nombreuses questions en suspens
Cependant, de nombreuses questions restent sans réponse. Notamment, mais pas exclusivement, concernant la limitation du champ d’application de ces cyber-assurances : doivent-elles, par exemple, couvrir un éventuel paiement de rançon ? Les avis divergent, tant au sein des assureurs eux-mêmes que de la classe politique : alors que l’Anssi (Agence nationale de la sécurité des systèmes d’information) accuse les assureurs de payer des rançons pour financer la cybercriminalité, la députée Valeria Faure-Muntian se prononce carrément en faveur de « la prévention des assureurs de garantir, de couvrir ou d’indemniser la rançon ».
Même dilemme avec le fait de rendre la cyber-assurance obligatoire : Valeria Faure-Muntian veut obliger les entreprises travaillant avec l’Etat à y recourir, tandis qu’Amanda Maréchal, de l’assureur pro QBE, estime que cela conduirait à « déresponsabiliser les entreprises » une telle situation. leurs efforts pour se défendre contre les attaques. Bref, le débat est ouvert et, dans un secteur en pleine structuration, il n’est pas près d’être tranché.