En pleine saison des renouvellements, c’est LE sujet qui fâche : les dirigeants sont désormais sensibilisés à l’utilité d’une couverture cyber et donc désireux d’en souscrire,… mais il est de plus en plus difficile de trouver un assureur, même en y mettant le prix.

En dépit de hausses sensibles des primes et des franchises, les capacités sur ce risque se contractent, et les assureurs renforcent leurs exigences de sécurité informatique. De là à dire que le risque cyber ne peut s’assurer, il n’y a qu’un pas… Fidèle à sa réputation de franchise, Florence Lustman, présidente de la FFA, a mis les pieds dans le plat en séance plénière du Congrès des actuaires, rappelant qu’il y avait des prérequis pour couvrir un risque, cyber ou pas… « C’est un peu comme si on sortait de chez nous en laissant portes et fenêtres ouvertes, les clés sur la voiture ! Le niveau de protection nécessaire pour que les assureurs proposent une assurance cyber à grande échelle n’est pas là ».

Avec le partenariat signé le 28 septembre dernier par la FFA avec AGEA et la gendarmerie nationale, qui vise à former et sensibiliser les agents généraux d’assurance au risque cyber, et devraient ainsi être en mesure de dispenser des conseils de prévention aux TPE et PME, les assureurs espèrent voir la situation s’améliorer.

Car il y a des explications à la situation actuelle et des solutions pour y remédier. A l'occasion du congrès des actuaires, un trio composé de deux actuaires, Caroline Hillairet, responsable de la formation actuariat de l’Ensae et Olivier Lopez, directeur de l’Isup, et d’un risk manager, Philippe Cotelle, président de la Commission Cyber de l’Amrae et directeur des assurances de Airbus Defence and Space, a expliqué pourquoi la situation était critique et tenté de dessiner une issue. « La mutualisation n’est pas très facile, car le risque cyber est un risque nouveau, qui évolue très vite. Le phénomène du silent cyber nécessite de faire le ménage dans les polices non spécifique, et les sinistres peuvent être des évènements extrêmes, et se cumuler dans le cas des cyberpandémies », a rappelé Caroline Hillairet.

4 sinistres ont coûté l'intégralité des primes

Reprenant des informations issues de l’étude Lucy publiée en mai dernier par l’Amrae grâce aux données collectées auprès de tous les courtiers opérant sur le marché français, des tendances se dessinent et des idées reçues s’envolent. En 2019, pour 87 millions d’euros de primes, il y a eu 73 millions d’euros d’indemnisation. En 2020, pour 130 millions d’euros de primes, il y a eu 217 millions d’indemnisation, mais la fréquence des sinistres n’a pas augmenté. « On a vu apparaître de très gros sinistres, et seulement quatre ont coûté 130 millions d’euros, c’est-à-dire la totalité des primes du marché français », a souligné Philippe Cotelle.

« On est dans une situation où les coûts sont extrêmement volatils, avec des valeurs extrêmes affectées d’une probabilité qui n’est pas si faible, et qui ne permet pas d’établir des scénarios moyens », a expliqué Olivier Lopez. C’est pourtant un préalable à l’assurance et au calcule de primes. « Si un assureur ne peut pas maîtriser un risque, il va l’exclure », rappelle Olivier Lopez qui confirme l’idée de Florence Lustman selon laquelle « la maîtrise du risque cyber ne passe pas par l’assurance, mais par la prévention ». L’autre condition pour un marché de l’assurance cyber qui serait efficient, c’est la mutualisation, qui n’est pas possible actuellement en raison d’un recours à l’assurance trop rare. « Il faut étendre la couverture aux ETI et aux PME,… qui n’ont pas forcément la maturité sur la gestion de ce risque », selon Philippe Cotelle. D’où le partenariat de la FFA avec les agents généraux et les gendarmes.