Face à la recrudescence des cyberattaques, de plus en plus d’entreprises françaises font le choix d’une couverture dédiée. Mais dans un marché qui est loin d’être mature, la démarche relève parfois du parcours du combattant, sauf pour les très grands groupes.

Plus d’une entreprise française sur deux (54%) a été la cible d’une cyberattaque en 2021. C’est le constat alarmant dressé par un récent rapport de la Direction générale du Trésor, consacré au développement de l’assurance du risque cyber. Un risque cyber multiforme, étroitement lié à l’utilisation croissante des technologies numériques et qui peut résulter à la fois d’une erreur humaine au niveau de l’entreprise cible et d’une véritable attaque informatique : malwares, tentatives de phishing et autres ransomwares font désormais partie des préoccupations de sécurité des entreprises, quelles que soient leurs activités. de leur taille ou de leur secteur d’activité. Cette augmentation exponentielle du risque cyber, encore alimentée par la crise sanitaire, le recours au télétravail ou la guerre en Ukraine, ne s’est paradoxalement pas traduite par une augmentation similaire de la couverture de ces risques spécifiques : même selon le Trésor, le risque cyber ne représente aujourd’hui que 3% des cotisations d’assurance accidents du travail.

Comment expliquer cette décorrélation ? Cela tient d’abord aux difficultés que les entreprises éprouvent souvent à appréhender ce risque particulier – un constat qui vaut particulièrement pour les PME françaises, dont seulement 0,0026% sont actuellement couvertes contre le risque cyber, contre 87% des grandes entreprises. Du côté des assureurs, les réticences sont également de mise, alors que le volume des sinistres a triplé entre 2019 et 2020, avec un ratio sinistres/primes de 167% contre 84% l’année précédente. Pour ces derniers, le compte n’y est pas, d’autant plus qu’une cyberattaque a souvent tendance à « déborder » : non seulement le système informatique de l’entreprise cible est touché, mais sa réputation, son cours de bourse, ou ses parts de marché peuvent être affectés. comme en témoignent par exemple les 250 millions de pertes subies par Saint-Gobain après une cyberattaque en 2017. Autant d’éléments qui font du cyber-risque un domaine de spécialisation particulier et de la cyber-assurance un modèle particulièrement complexe à industrialiser.

Rapprochement assureurs-réassureurs, cyber-assurance « maison »… : les pistes avancées

En effet, comme le soulignait la députée Valeria Faure-Muntian dans un rapport publié en octobre, le marché français de la cyberassurance reste encore à structurer. Entre-temps, plusieurs grands groupes ont décidé de prendre un risque en lançant leur propre compagnie d’assurance dédiée au risque cyber. Airbus, Michelin, Veolia, Sonepar ou l’allemand BASF ont ainsi annoncé, fin septembre, leur intention de regrouper leurs risques cyber dans une nouvelle structure, baptisée Miris, qui, nient-ils, n’entend pas se substituer aux assureurs, mais garantir leur couverture : « Nous ne voulons pas nous substituer aux assureurs », se défend le représentant d’Airbus, « mais collaborer en complétant leur offre disponible dans une démarche de coassurance ». Chacun des membres fondateurs de Miris a apporté 5 millions d’euros sur la table, pour une éventuelle couverture individuelle de 25 millions d’euros.

À Lire  Open Finance, une opportunité pour les épargnants

L’initiative doit cependant encore recevoir l’aval du régulateur, avant d’émettre, espèrent ses créateurs, ses premières polices jusqu’au début de 2023. d’attentisme d’un monde de l’assurance qui peine – c’est dommage – à se rassurer. A court terme, cependant, la solution pourrait venir de mouvements de rapprochement entre assureurs français et réassureurs étrangers, en privilégiant l’internationalisation pour couvrir les risques transfrontaliers – ce qui est souvent le cas des risques cyber. Par exemple, le rapprochement entre la mutuelle française Covéa (MAAF, GMF, MMA) et le réassureur bermudien PartnerRe, qui développe une capacité d’observation globale de ces risques transnationaux, permettra au leader français des mutuelles de s’appuyer sur l’amende analyse des risques internationaux de PartnerRe pour protéger ses propres clients des cyberattaques.

De nombreuses questions en suspens

De nombreuses questions restent cependant sans réponse. Notamment, mais pas exclusivement, sur la délimitation du périmètre de ces cyberassurances : doivent-elles, par exemple, couvrir le paiement d’un éventuel rachat ? Les avis divergent, tant au sein des assureurs eux-mêmes qu’au sein de la classe politique : alors que l’Anssi (Agence nationale pour la sécurité des systèmes d’information) accuse les assureurs de verser des rançons pour financer la cybercriminalité, la députée Valeria Faure-Muntian se prononce ouvertement pour « interdire aux assureurs de garantir, couvrir ou indemniser le rachat ».

Même dilemme du point de vue de l’assurance cyber obligatoire : Valeria Faure-Muntian veut obliger les entreprises qui travaillent avec l’État à y recourir, tandis qu’Amanda Maréchal, de l’assurance pro-QBE, estime qu’une telle éventualité conduirait à « déresponsabiliser les entreprises  » dans leurs efforts pour se protéger des attaques. Bref, le débat est ouvert et, dans un secteur en pleine structuration, il n’est pas près d’être tranché.