On entend et lit beaucoup de choses autour du risque cyber. L’explosion des attaques et sa dimension potentiellement systémique inquiètent, jusqu’à remettre en question l’assurabilité même du risque.

Néanmoins, l’écosystème cyber se structure et des signaux encourageants émergent. Et si les conclusions du dernier rapport LUCY de l’Amrae comme l’effervescence constatée lors du Cyber Day laissaient entrevoir le début d’un nouveau moment pour la cyber assurance ?

L’assurance de retour aux affaires !

Le marché de l’assurance cyber existe toujours !

Olivier Wild, Président de l’Amrae

Voici la première chose à retenir du 3e opus du rapport LUCY (Lumières sur la cyberassurance) publié fin mai. C’était loin d’une évidence il y a encore quelques mois, notamment lorsque le patron de Zurich, Mario Greco, associait l’adjectif inassurable au risque n°1 du moment selon les experts.

Bonne surprise donc, la tendance semble s’inverser. Le rapport de l’Amrae nous apprend que l’année 2022, grâce à des progrès sur plusieurs fronts, a permis au marché de revenir en territoire positif et d’attirer de nouveaux les assureurs.

Retenons et décryptons 3 chiffres de ce rapport dense :

• 22,3% : un ratio S/P historiquement bas ! Mais le grand écart entre les grandes entreprises (16%) et les PME (100%). Pour ces dernières, la remédiation est toujours mal maîtrisée et les coûts s’envolent (400k€ en moyenne pour un sinistre !). Un travail sur la résilience doit impérativement être entrepris au bas de l’échelle.
  
  Autre question en suspens : cette statistique signifie-t-elle que les entreprises se protègent mieux ou que les pirates se sont un peu reposés sur leurs lauriers ? Les mois à venir devraient être riches en enseignements.

• + 25% : le nombre d’entreprises assurées repart à la hausse ! Et ce chiffre monte à + 53% pour les structures de taille moyenne.
  
  Le travail d’éducation autour de la menace cyber semble ainsi peu à peu porter ses fruits. Pour autant, la sinistralité explose, et on peut s’attendre à voir les assureurs durcir les conditions d’accès et nettoyer leur portefeuille prochainement.

• 315 millions € : soit le total des primes tous segments confondus captés sur l’année en France. C’est une hausse de 72% sur un an… mais c’est finalement peu !
  
  Une très grosse attaque peut coûter en effet bien plus. Le Top 3 de l’histoire ? NotPetya (10 milliards $), Epsilon (4 milliards $), MafiaBoy Attack (1 milliard $).
  
  De quoi réfréner certaines ardeurs autour d’un marché qui demeure extrêmement volatil. En témoigne la récente décision du Lloyd’s de modifier la couverture des actes de cyberguerre.

Du mieux, mais un équilibre encore très fragile et de nombreuses incertitudes face à un risque toujours mouvant. Voici en résumé ce qu’il faut retenir d’un rapport qui livre toujours de précieux insights sur un sujet incontournable du moment dans le secteur. La partie est donc loin d’être gagnée, mais la défense s’organise.

Vers une approche plus globale et collective

Les problèmes liés au risque cyber sont bien identifiés : une nature systémique dans certains cas, un historique de données insuffisant et des capacités parfois difficiles à dénicher. Face à une menace de cette ampleur, les assureurs ne pourront à eux seuls jouer les sauveurs. Pour y répondre, une approche holistique impliquant plusieurs acteurs de la chaîne de valeur pourrait se révéler à bien des égards pertinente.

C’est l’un des sentiments forts à retenir de la première édition du Cyber Day. Le 31 mai, les équipes de Finance Innovation avaient réuni de nombreux acteurs de l’écosystème : entreprises spécialisées en cybersécurité, assureurs, insurtechs, consultants, etc. Au menu, des échanges de fond, et l’idée que la solution viendra du collectif.

La connaissance du risque demeure un point crucial. On ne vous apprendra rien en vous disant que la clé réside ici dans la data. La proposition de valeur d’un Citalid en France, ou les récentes initiatives de la licorne Coalition aux États-Unis, qui vient notamment d’ouvrir un laboratoire de recherche, trouvent tout leur sens dans le contexte actuel.

Côté insurtech, nos pépites françaises Dattak et Stoïk insistent notamment sur le volet préventif. Leur objectif consiste à accompagner au mieux en amont leurs clients, afin de mitiger le risque et de favoriser leur accessibilité à l’assurance. Celle-ci devient, dès lors, une brique et un dernier recours que l’on s’applique à éviter en déployant d’autres moyens en amont. Et si l’on en arrive à ce stade, l’anticipation et la mise en place de dispositifs efficaces en aval, notamment sur la remédiation, doivent aussi permettre de maîtriser le coût d’un sinistre.

Dans ce cadre, les synergies entre acteurs deviennent de plus en plus évidentes. On a également senti une nouvelle maturité dans la compréhension des enjeux, chez tout le monde. Les discussions se multiplient, des partenariats se nouent. Un élan positif à confirmer et matérialiser, certes, mais une chose est sûre : les partisans de la cyber protection sont plus que jamais déterminés à mener la vie dure aux pirates des temps modernes !