Il est urgent de trouver une solution aux problèmes d'assurance cyber

Est-ce la fin des contrats d'assurance qui couvrent les entreprises contre les cyberattaques ? Le marché est mal en point. Les assureurs perdent de l'argent et les entreprises ont de plus en plus de difficultés à s'assurer.

Partager
Il est urgent de trouver une solution aux problèmes d'assurance cyber

Ça chauffe à l'approche des rencontres de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), qui se déroulent du 2 au 4 février à Deauville. Alors que les renouvellements de contrats d'assurance pour les entreprises sont encore plus tendus qu'il y a un an, et en attendant le plan d'action de Bercy sur l'assurance du risque cyber, le sujet de la couverture des risques liés aux cyberattaques est une pomme de discorde entre risk managers et assureurs.

L'assurance cyber ne répond plus
Un petit sondage effectué en décembre par l'Amrae auprès d'une centaine d'entreprises, dont 70% de grands comptes, indique que c'est sur la couverture cyber que se concentrent les plus grandes difficultés de renouvellement (hausses tarifaires, nouvelles limites, voire non reconduction pure et simple) au 1er janvier. "Certains assureurs ne répondent même plus au téléphone…", déplore Philippe Cotelle, administrateur de l’Amrae, co-président de sa commission cyber, et risk manager d’Airbus Defence & Space. Dans ses prévisions 2022 pour la cybersécurité, l'éditeur de solutions BeyondTrust craignait "un tsunami d'annulations des cyberassurances". Une prédiction crédible ?

On n'en est pas loin, si l'on écoute Oliver Wild, le président de l'Amrae, qui déclare dans CIO-Online que "le marché de la cyberassurance n'existera peut-être plus l'an prochain", décrivant des "contrats vidés de leur substance".

Concrètement, la situation se présente comme cela : les primes explosent (plus du double dans des secteurs comme la logistique et l’industrie), les franchises augmentent, les risques acceptés par les assureurs se réduisent, et les garanties diminuent. Ou alors, l'offre n'est carrément plus proposée. "Le problème numéro un, c'est la capacité. Face à un risque de long terme, l'exposition financière au risque cyber ne cessant de croître, le marché apporte une réponse court-termiste, qui varie d'une année, voire d'un mois sur l'autre", explique Philippe Cotelle.

Comment en est-on arrivé là ?
Le problème des capacités, c'est-à-dire l'engagement financier maximum de l'assureur, a plusieurs causes. D'une part, les mauvais résultats techniques de la branche. Le volume d’indemnisation des sinistres a été multiplié par trois entre 2019 et 2020, amenant le ratio sinistres/primes à 167% contre 84% un an plus tôt. Autrement dit, le cyber n'a pas été rentable pour les assureurs, qui ont remboursé plus que les primes encaissées. Selon l'Amrae, cette inflation est due à quatre très gros sinistres (10 à 40 millions d'euros chacun) déclarés par des grandes entreprises, représentant seulement 1% des sinistres indemnisés en 2020.

D'autre part, il n'y a pas assez de clients pour mutualiser le risque, car très peu d'entreprises sont assurées. En 2020 selon l'Amrae, 87% des grandes entreprises (>1,5 milliard d'euros de chiffre d'affaires) étaient couvertes, mais seulement 8% des ETI, 0,0026% des PME entre 10 et 15 millions d'euros de CA (un chiffre sous-estimé à cause de l'échantillon, mais néanmoins ridicule), et 1% des communes de plus de 5000 habitants. En 2020, cela représentait 135 millions d'euros de primes selon France Assureurs, soit seulement 0,225% de l'ensemble des primes en assurance non vie.

Cela engendre un cercle vicieux. "La sinistralité augmente en montants, ce qui fait peur aux assureurs. Pour répondre à un problème de fréquence, ils peuvent facilement jouer sur la franchise. En revanche, pour un problème d'intensité, ils réduisent la capacité par risque, ce qui est contre-productif". L'offre n'est pas suffisamment attractive, donc il y a moins de clients, donc moins de mutualisation, donc moins de capacité... C'est le chat qui se mord la queue.

Double paradoxe
Les assureurs, et les réassureurs, sont d'autant plus prudents qu'ils maîtrisent mal ce risque, récent par rapport aux autres, et pour lequel ils disposent de moins de données. C'est pour cela que France Assureurs (ex- Fédération française de l'assurance) privilégie les axes de développement que sont la prévention, le partage des données, et la levée des flous réglementaires, sur le remboursement des rançons, notamment. Axa et Generali ont déjà indiqué qu'ils ne prenaient plus en charge le paiement des rançons, qui est vivement déconseillé mais pas interdit par la loi.

En résumé, il est de plus en plus difficile de s'assurer, alors que les entreprises n'en ont jamais eu autant besoin. Et le marché vit un double paradoxe : un manque d’offre du côté des grandes entreprises, et une faiblesse de la demande du côté des ETI, des PME et des collectivités. Selon Stéphane Blanc, président d'Antemeta, un fournisseur de cloud et de solutions de sécurité,  60% des PME victimes d'une cyberattaque mettent pourtant la clé sous la porte dans les 18 mois qui suivent.   

Quelles solutions ?
Pour les grandes entreprises, une solution consiste à créer des captives d'assurance, sortes de mutuelles internes à un groupe, régulées comme un assureur. Une évolution législative, censée faciliter la création de captive, était attendue cette année mais elle a été repoussée. Elles investissent également énormément dans la cybersécurité. "Les informations à fournir pour convaincre les assureurs sont de plus en plus compliquées et hyper techniques. Leur niveau d’exigence a atteint des seuils qui, à réponse fournie, ne se retrouve pas dans les garanties proposées. Ces questionnaires nous questionnent aussi en termes de sécurité et de confidentialité. Pourquoi autant d'efforts pour une couverture si faible ? Pourquoi ne pas réinvestir tout ou partie de ces primes dans encore plus de sécurité cyber ?", s'interroge Philippe Cotelle. En moyenne, selon l'Amrae, les grandes entreprises sont couvertes pour des garanties de 38 millions d'euros.

Les PME, elles, n'ont pas autant d'argent à investir et ont du mal à faire le tri dans les solutions de sécurité. L'Amrae a fait des propositions, en coordination avec l'Anssi et Cybermalveillance.fr, pour créer un référentiel d'offres comparables et labellisées. "L'Etat doit être un coordinateur pour guider les entreprises sur le chemin le moins cher et le plus efficace, et les amener ainsi à être assurables". Elle suggère aussi aux courtiers de mettre davantage en avant le package de services d'accompagnement à la gestion de crise dans les offres d'assurance cyber. Marc Bothorel, référent cybersécurité de la CPME, propose quant à lui d'instituer un crédit d'impôt pour l'équipement matériel et logiciel, à l'image du chèque France Num qui aide les TPE à se numériser.

Bercy à la rescousse
De son côté, Bercy devrait publier au premier trimestre les conclusions de son groupe de travail sur l'assurance cyber, installé le 30 juin 2021. Lors d'une audition au Sénat le 25 novembre dernier, le sous-directeur chargé des assurances à la direction générale du Trésor, Lionel Corre, a indiqué que le plan d'action pourrait combiner une loi et des accords de place. Les travaux couvrent quatre axes : le contenu des garanties ; la quantification du risque ; la façon de répartir le risque entre entreprises, assureurs, réassureurs, et l'État ; et la mobilisation de l'écosystème.

Seront abordées notamment les questions des anciens contrats n'excluant pas explicitement le risque cyber et par conséquent flous, les rançons, la création d'une nouvelle branche cyber, et la prise en charge du risque systémique. Lionel Corre, qui a quitté son poste le 1er février pour rejoindre le Boston Consulting Group, ce qui retardera peut-être les conclusions du groupe de travail, n'a pas voulu donner de faux espoirs au secteur. "Nous n'avons pas trouvé de recette à dupliquer, y compris aux États-Unis", a-t-il déclaré devant les sénateurs.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS USINE DIGITALE

Tous les événements

Les formations USINE DIGITALE

Toutes les formations

ARTICLES LES PLUS LUS