Quelles sont les perspectives pour le marché de la cyber assurance en France ?
La cyber assurance est clairement un marché à fort potentiel. Les primes émises ont bondi de 30% par an en moyenne depuis 2016 et s’élevaient à 120 millions d’euros en 2020, selon nos estimations. La structuration de l’offre, l’intensification des cyberattaques et leur médiatisation ainsi que le renforcement de la réglementation et des sanctions sont à l’origine de cette très forte croissance. Près de 60% des entreprises visées par des cyberattaques ont vu leur activité pénalisée tandis que le nombre de particuliers assistés par la plateforme Cybermalveillance.gouv.fr a plus que doublé entre 2018 et 2019. Compte tenu du sous-équipement de pans entiers de clients potentiels (17% des TP/PME ont souscrit une cyber assurance contre 80% des sociétés du CAC 40) mais aussi du réel décalage entre l’exposition aux cyberattaques des particuliers et leurs taux de souscription, toutes les conditions sont réunies pour que la demande explose. Le marché devrait ainsi progresser au rythme d’environ 20% par an en moyenne d’ici 2023, selon nos prévisions. En d’autres termes, la cyber assurance est un marché émergent et en plein essor.
La hausse de la sinistralité ne peut-elle pas peser sur le développement du marché ?
Des tensions sont en effet apparues entre les entreprises et les assureurs lors des renouvellements 2021. Ces derniers relèvent leurs tarifs, révisent les contrats en ajoutant des exclusions, augmentent les franchises et limitent les montants de couverture offerts. C’est d’autant plus vrai que la crise a entraîné une hausse significative de la sinistralité sous l’effet de la généralisation du télétravail, de l’ouverture des réseaux pour faciliter la connectivité ou encore de l’utilisation des équipements personnels qui ont accru les vulnérabilités des organisations aux cyberattaques. Dans le sillage de la crise pandémique, la plupart des assureurs grands risques ont donc diminué leurs capacités de souscription à l’image d’AIG, Chubb, CNA Hardy ou encore Zurich Insurance. En réalité, les cyber assureurs doivent jouer les équilibristes. D’un côté, ils cherchent à évangéliser le middle market pour se renforcer sur un marché en plein boom, comme l’illustrent leurs nombreuses initiatives (lancement d’offres dédiées, logique de bouquets de services incluant la prévention et l’accompagnement comme les audits préventifs des SI, les sessions de formation, l’assistance à la gestion de crise, etc.). De l’autre, ils font face à un risque évolutif et potentiellement systémique pour lequel ils se heurtent encore à l’absence d’historique de sinistralité rendant les modélisations actuarielles complexes. Dans ces conditions, ils s’associent avec des spécialistes de la sécurité informatique pour gagner en compétences en matière d’évaluation des risques.
A quelles refontes des offres faut-il alors s’attendre ?
Face à la montée de la sinistralité, l’heure est désormais à la clarification des couvertures cyber pour mieux délimiter les garanties et les tarifer de façon pertinente. C’est un chantier en cours chez QBE ou AIG France. En parallèle, les assureurs investissent pour améliorer leur offre et créer de véritables démarches d’accompagnement des assurés. Les services d’assistance sont en effet essentiels au-delà de la seule réponse indemnitaire. Les opérateurs signent également des partenariats techniques avec des assureurs grands risques comme Crédit Agricole Assurances, qui a élaboré des offres en partenariat avec Hiscox, avec des spécialistes de la cybersécurité comme Axa XL, qui a signé avec Accenture. Pour séduire la cible prometteuse des TPE/PME, les cyber assureurs conçoivent des offres spécifiques à l’image de l’offre Protection Numérique de Generali à un tarif attractif. En résumé, les contrats d’assurance cyber comportent ainsi trois volets : l’assurance proprement dite, c’est-à-dire l’indemnisation des sinistres, mais aussi en amont la prévention (réduction de la sinistralité) et en aval l’accompagnement (gestion technique de la cyberattaque, communication de crise, veille réputation, etc.). Alors que la capacité à mobiliser une cellule de prestataires devient un facteur clé de succès, les assureurs traditionnels se rapprochent naturellement des experts en cyber sécurité ainsi que des assureurs grands risques.
