Selon Cornu, la notion de risque désigne un évènement dommageable dont la survenance est incertaine. Un risque peut néanmoins être plus ou moins certain. Avec l’ère du tout numérique et du tout digital, les individus et les entreprises sont de plus en plus susceptibles de faire l’objet des cyberattaques. Ainsi, la transformation numérique est certes un progrès mais aussi notre plus grande faiblesse. Face à l’explosion des risques cyber, la notion de cybersécurité s’est intégrée dans le RGPD. Depuis 2018, le législateur européen a pour priorité la sécurisation des données. Cela passe par le respect des grands principes tels que le principe de minimisation des données collectées, le principe de limitation de la conservation, le principe de l’intégrité et celui de la confidentialité. En conséquence, le RGPD permet de renforcer la cybersécurité des structures. Cependant, le risque 0 n’existe pas, c’est là que se pose la question de l’utilité des assurances cyber.
Les assurances cyber face à l’histoire :
L’assurance en tant que « recherche de protection » existe depuis l’Antiquité. Le cyber est sans aucun doute le plus jeune de la liste. C’est dans les années 2013 que sont apparues les premières assurances cyber sur le marché américain et sont ensuite transposées sur le marché européen. Selon Timothée Crespe, expert cyber chez Aon, « en 2016-2017, on assiste à un éveil du marché », cela s’explique par la médiatisation des risques cyber tels que les « ransomwares ». En 2020, avec l’avènement de la crise sanitaire et le bouleversement du mode organisationnel des Petites et Moyennes Entreprises (PME) par le télétravail, les offres à leurs destinations se sont multipliées. Force est de constater qu’aujourd’hui plus d’une entreprise sur trois ont déclaré avoir été attaquées par un rançongiciel dans le cyberespace.
Quel avenir pour les assurances cyber ?
Comme il a été précisé plus haut, le principe de l’assurance est basé sur la notion de risque. En effet, en cybersécurité, cette notion est définie comme un triplet, « constitué d’une vulnérabilité, d’une menace et d’un impact ». Ce risque cyber doit être parfaitement identifié dans un contrat. Néanmoins, avec le développement de l’économie numérique et l’usage de plus en plus accru des nouvelles technologies, de nouvelles vulnérabilités, de nouvelles menaces et de nouveaux impacts se font voir chaque jour. C’est là que réside toute la difficulté en la matière. Ainsi, le secteur d’assurance se questionne sur la viabilité économique des offres de couverture des risques cyber.
Toutefois, les assurances cyber doivent être une priorité nationale dont les entreprises ont besoin afin de transférer le risque. C’est la raison pour laquelle, l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) a publié une étude concernant le risque cyber et sa couverture assurantielle, nommé LUCY. Selon Philippe Colette, administrateur de l’AMRAE, LUCY a été conçue comme un outil de dialogue entre divers acteurs tels que les assureurs, les courtiers et les assurés. Le constat est, qu’après une année 2020 chaotique pour le secteur des cyber assurances, en 2021 le marché est redevenu positif, équilibré et profitable. Cependant, il est très important de scinder en deux le marché, avec d’une part les grandes entreprises et d’autre part les entreprises de taille intermédiaire (ETI) ainsi que les PME. Concernant les grandes entreprises, l’offre assurantielle se dégrade. Charles Cuvelliez et Emmanuel Michiels qualifient les assurances des risques cyber d’un business myope en précisant que c’est un secteur atypique en raison de « l’asymétrie de l’information, l’interdépendance entre acteurs qui subissent le cyber risque et les pertes corrélées ». Ainsi, les primes des cyber assurances sont élevées par rapport aux risques couverts. De plus, il existe des limites assurables qui sont souvent plus basses par rapport au dommage réel causé par une cyberattaque. Par exemple, une perte de confiance ou encore la destruction des serveurs d’une grande entreprise s’avère être extrêmement coûteux et la prise en charge totale par un organisme d’assurance sera son arrêt de mort. Face à ces phénomènes, l’attractivité des offres est remise en question. C’est ce qui explique que plusieurs grandes entreprises n’ont pas renouvelé leurs contrats d’assurance.
A l’encontre des grandes entreprises, concernant les ETI, la situation est drastiquement différente. L’enquête LUCY démontre une augmentation de 20% de souscription des ETI mais aussi des PME. Également, la réaction du marché est beaucoup moins forte, autrement dit, les taux de primes ont également augmenté mais nettement moins exponentiellement que ceux des grandes entreprises. En sus, les sinistres indemnisés ont été multiplié par cinq en 2021. Malgré cet aspect positif concernant les ETI, un élément peut perturber le marché au cours des années 2022 et 2023. C’est l’absence de culture de cyber assurance.
Pour conclure, il en découle que « le cadre réglementaire actuel n’est pas propice au développement de ce marché », comme déclare la Fédération France Assureurs. Il est primordial de s’en sortir de ce business myope en se retournant davantage sur l’anticipation de la crise cyber.
Sources :
https://tribune-assurance.optionfinance.fr/lessentiel/a-lheure-de-lassurance-cyber.html
https://www.latribune.fr/opinions/tribunes/les-assurances-cyber-un-business-myope-840939.html
https://www.amrae.fr/bibliotheque-de-amrae/lucy-lumiere-sur-la-cyberassurance-amrae-juin-2022
