Face à la recrudescence des cyberattaques, de plus en plus d’entreprises françaises choisissent de recourir à des couvertures dédiées. Mais, dans un marché loin d’être mûr, la démarche relève parfois du parcours du combattant, sauf pour les très grands groupes.
Plus d’une entreprise française sur deux (54%) a fait l’objet d’une cyberattaque en 2021. C’est le constat, alarmant, dressé par un récent rapport de la direction générale du Trésor, consacré au développement de l’assurance du risque cyber. Un risque cyber protéiforme, intimement lié à l’usage croissant des technologies numériques et qui peut résulter tant d’une erreur humaine au sein de l’entreprise visée que d’une attaque informatique à proprement parler : malware, tentatives de phishing et autres rançongiciels font désormais pleinement partie des préoccupations de sécurité des entreprises, et ce quelle que soit leur taille ou leur secteur d’activité. Cette hausse exponentielle du risque cyber, encore nourrie par la crise sanitaire, le recours au télétravail ou la guerre en Ukraine, ne s’est paradoxalement pas traduite par une hausse analogue de la couverture de ces risques spécifiques : toujours selon le Trésor, le risque cyber ne représente aujourd’hui que 3% des cotisations en assurance dommage des professionnels.
Comment expliquer cette décorrélation ? Celle-ci trouve, en premier lieu, son origine dans les difficultés qu’éprouvent souvent les entreprises à appréhender ce risque particulier – un constat qui s’applique particulièrement aux PME françaises, dont seules 0,0026% sont aujourd’hui couvertes contre le risque cyber, contre 87% des grandes entreprises. Du côté des assureurs, la frilosité est également de mise, alors que le volume d’indemnisation des sinistres a été multiplié par trois entre 2019 et 2020, avec un ratio sinistres/primes à 167% contre 84% l’année précédente. Pour ces derniers, le compte n’y est pas, d’autant moins qu’une cyberattaque a, souvent, tendance à faire « tâche d’huile » : non seulement le système informatique de l’entreprise ciblée est touché, mais sa réputation, son cours en bourse ou ses parts de marché peuvent en prendre un coup – comme en témoignent, par exemple, les 250 millions de pertes essuyées par Saint-Gobain à la suite d’une cyberattaque en 2017. Autant d’éléments qui font du risque cyber un domaine d’expertise à part, et de la cyber-assurance un modèle particulièrement complexe à industrialiser.
Rapprochement assureurs-réassureurs, cyber-assurance « maison »… : les pistes avancées
De fait, comme le soulignait la députée Valeria Faure-Muntian dans un rapport publié en octobre, le marché français de l’assurance cyber reste encore à structurer. En attendant, plusieurs grands groupes ont décidé de sauter eux-mêmes le pas, en lançant leur propre société d’assurance dédiée au risque cyber. Airbus, Michelin, Veolia, Sonepar ou encore l’allemand BASF ont ainsi annoncé, fin septembre, leur intention de mutualiser leurs cyber-risques au sein d’une nouvelle structure, baptisée Miris qui, s’en défendent-ils, n’a pas vocation à se substituer aux assureurs mais à sécuriser leur couverture : « nous ne voulons pas remplacer les assureurs », soutient le représentant d’Airbus, « mais collaborer en complétant leur offre disponible dans une démarche de co-assurance ». Les membres fondateurs de Miris ont chacun apporté 5 millions d’euros sur la table, pour une couverture individuelle possible de 25 millions d’euros.
L’initiative doit, cependant, encore recevoir l’approbation du régulateur, avant d’émettre, espèrent ses concepteurs, ses premières polices d’ici au début de l’année 2023. Elle témoigne tant du sentiment d’urgence que d’une certaine fébrilité de la part des acteurs économiques face à l’attentisme d’un monde de l’assurance qui peine – c’est un comble – à rassurer. A court terme, la solution pourrait cependant venir de mouvements de rapprochement entre assureurs tricolores et réassureurs étrangers, en misant sur l’internationalisation pour couvrir les risques transfrontaliers – ce qui est, souvent, le cas des risques cyber. A titre d’exemple, le rapprochement entre le mutualiste français Covéa (MAAF, GMF, MMA) et le réassureur bermudien PartnerRe, qui développe une capacité d’observation globale de ces risques transnationaux, permettra au leader français des mutuelles de s’appuyer sur la finesse d’analyse des risques internationaux de PartnerRe pour assurer ses propres clients face aux cyberattaques.
De nombreuses questions en suspens
De nombreuses questions demeurent, cependant, en suspens. Notamment, mais pas exclusivement, sur la délimitation du périmètre de telles cyber-assurances : doivent-elles, par exemple, couvrir le paiement d’une éventuelle rançon ? Les avis divergent, tant au sein des assureurs eux-mêmes que de la classe politique : alors que l’Anssi (Agence nationale de la sécurité des systèmes d’information) accuse les assureurs payant les rançons de financer la cybercriminalité, la députée Valeria Faure-Muntian se prononce carrément pour « l’interdiction pour les assureurs de garantir, de couvrir ou d’indemniser la rançon ».
Même dilemme sur la perspective de rendre obligatoire l’assurance cyber : Valeria Faure-Muntian veut contraindre les entreprises travaillant avec l’Etat à y recourir, alors qu’Amanda Maréchal, de l’assureur pro QBE, estime qu’une telle éventualité conduirait à « déresponsabiliser les entreprises » dans leurs efforts pour se protéger des attaques. Bref, le débat est ouvert et n’est pas, dans un secteur en pleine structuration, près d’être tranché.