Alors que l’écosystème public et privé européen de la cybersécurité se réunit à Lille, ce mardi 26 mars, pour la 16e édition du , la menace de cyberattaques ne faiblit pas et n’épargne personne. En 2024, pour la troisième année consécutive, les cyberincidents dominent le baromètre des risques publié par l’assureur Allianz au niveau mondial.
Malgré l’omniprésence des cyber-risques, l’adhésion des entreprises européennes aux assurances contre ces menaces est étonnamment réduite. Au Luxembourg, en 2022, 57% des PME n’avaient aucune couverture cyber (UE27: 69%) et 21% ne savaient pas si elles étaient couvertes (UE27: 15%), selon l’enquête «Flash Eurobaromètre – Tendances des PME dans les services d’assurance».
«Vu les dangers et les attaques, la cyberassurance prend de plus en plus de sens», réagit l’administrateur-délégué de l’Association des compagnies d’assurances et de réassurances (Aca), Marc Hengen. Il relève toutefois plusieurs limites: «D’une part, les entreprises ne manifestent pas toujours un grand intérêt pour ces garanties. D’autre part, les risques cyber sont difficiles à assurer. Le coût des dommages peut être extrêmement important, et pas forcément estimable. Il y a également la question de la prévention: jusqu’où l’assurance doit-elle la pousser sans que le client devienne moins vigilant?»
Les retours du terrain évoquent plutôt un repli du marché.
Parmi les principaux acteurs de ce marché au Luxembourg, on trouve AIG, Chubb et CNA Hardy sur le segment grandes entreprises. Le segment PME/PMI, lui, est occupé par Foyer et Hiscox.
Les données manquent sur l’état du marché, tant du côté de l’Aca que du Commissariat aux assurances (CAA). Membre du comité de direction du CAA, Valérie Scheepers explique: «Nous collectons les données correspondant aux lignes d’activité de la loi, or le cyber n’en est pas une. Il se répartit dans différentes catégories: responsabilité civile générale, dommages aux biens et pertes pécuniaires diverses.»
Pour autant, l’autorité de surveillance dit échanger régulièrement sur le sujet avec la branche. «Les retours du terrain évoquent plutôt un repli du marché, un durcissement des conditions de souscription, une diminution des limites et une augmentation des prix», note Valérie Scheepers.
Au cours des dernières années, la hausse des pertes cyber a incité le secteur à limiter son exposition. Montées dans le bateau de l’assurance cyber par opportunisme commercial, sans statistiques ni expérience préalable, certaines compagnies ont été débordées par les sinistres. Elles ont ajusté drastiquement leurs offres, augmentant les primes et les franchises et ajoutant des exclusions tout en limitant les sommes assurées.
Du côté des réassureurs, on fait état d’une confiance en hausse sur le cyber.
De quoi rassurer les régulateurs, même si «nous n’avons pas observé cette tendance spécifiquement sur notre propre marché», précise Valérie Scheepers. En 2021, le CAA a mené une enquête sur le risque cyber. Résultat: «La sinistralité semblait alors maîtrisée. Tous les opérateurs passaient à une couverture affirmative des risques, spécifiant clairement et explicitement les types de risques couverts. On a constaté davantage de vigilance. On était dans un contexte post-Covid, où on parlait beaucoup du cyber-risque à cause du télétravail.»
Et aujourd’hui? À l’instar du régulateur européen, le CAA prévoit de collecter de nouvelles données sur le risque cyber. «Avec la guerre en Ukraine, le niveau de vigilance est encore monté d’un cran», considère Valérie Scheepers. En France, l’Autorité de contrôle prudentiel et de résolution (ACPR) estime que son appel à «clarifier la couverture du risque cyber dans les contrats» a été entendu par les assureurs. «La plus grande partie des incertitudes liées à ces couvertures semble en voie d’être maîtrisée», relevait l’ACPR début mars.
«En France, le marché se porte mieux», confirme le directeur Assurances de dommages et de responsabilité chez France Assureurs, Christophe Delcamp. Les encaissements ont ainsi progressé de 53% entre 2021 et 2022, à 327 millions d’euros, selon le représentant des assureurs français. «D’après nos adhérents, cette dynamique s’est poursuivie en 2023. Et du côté des réassureurs, on fait état d’une confiance en hausse sur le cyber. On voit même se développer, sur le marché des obligations de catastrophe (‘’cat bonds’’), des ‘’cyber cat bonds’’.»
L’entrée sur le marché de nouveaux assureurs a intensifié la concurrence.
En Europe aussi, l’horizon s’est éclairci, à en croire le courtier en assurance Marsh (qui a la plus grosse part de marché dans le monde). Car cela peut apparaître comme un paradoxe, mais «l’entrée sur le marché de nouveaux assureurs, combinée à une amélioration de la qualité des risques parmi les assurés, a intensifié la concurrence», relève la responsable cyber Europe chez Marsh Specialty, Gamze Konyar. «En conséquence, le marché a vu une augmentation de la capacité, une diminution des primes et l’élimination des restrictions de couverture.»
L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) indique n’avoir pas réalisé d’analyse spécifique, jusqu’à présent, concernant l’évolution de la capacité des acteurs et des prix du marché dans l’assurance cyber. Cela dit, dans son rapport de 2022 sur les tendances des consommateurs, plusieurs superviseurs nationaux identifient des lacunes de protection dans ce segment d’assurance. Comprenez: une partie des pertes cyber ne sont pas assurées.
Nous y voyons un levier important pour le renforcement de la cybersécurité.
Autre indication que le marché reste tendu: l’avertissement lancé par Zurich, l’une des plus grandes compagnies d’assurance européennes. Dans une interview au Financial Times fin 2022, son CEO, Mario Greco, déclarait que les attaques cyber deviendraient «non assurables» à mesure que les perturbations dues aux piratages continuent de croître, soulignant qu’il y a une limite à ce que le privé peut absorber en termes de souscription de toutes les pertes causées par des cyberattaques.
À côté de cet enjeu, le niveau des primes et le nombre d’offreurs représentent les principaux défis pour la cyberassurance, résume le CEO de la Luxembourg House of Cybersecurity (LHC), : «Il faut faire l’effort nécessaire pour adresser ces challenges au niveau national et international. J’espère que ces prochaines années, nous arriverons à trouver des modèles qui fonctionnent. L’effort doit notamment porter sur les données. La création d’un cercle vertueux passe par l’amélioration des connaissances sur les cyberattaques et par l’échange de ces informations.»
Au Luxembourg, déplore Pascal Steichen, l’offre de cyberassurance est encore trop limitée: «Nous y voyons un levier important pour le renforcement de la cybersécurité de l’économie. C’est quelque chose qui peut être beaucoup plus accompagnateur qu’une régulation. Le fait que l’assureur prenne lui-même un risque signifie qu’il va mettre en place des mécanismes efficaces pour aider les entreprises à renforcer leur cybersécurité.»