Longtemps atone, le marché de la cyber assurance pourrait prendre son envol en France en 2018 sous l’effet d’attaques retentissantes et de la réglementation. Pour autant, le manque de données de sinistres rend la modélisation du risque particulièrement compliquée pour assureurs et courtiers.
2018 sera placée sous le signe du chien dans l’horoscope chinois. Pour les risk managers elle devrait être placée sous le signe de la cyber assurance. Après une année 2017 marquée par les attaques retentissantes WannaCry, Petya, NotPetya, les entreprises ont pris conscience de l’enjeu d’une cyber attaque. « Les risk managers sont sensibilisés depuis plusieurs années au risque cyber. Mais pendant longtemps les directions générales se montraient réticentes à souscrire une nouvelle ligne d’assurance, indique Timothée Crespe, practice leader cyber chez Aon France. Les attaques très médiatisées de 2017 ont agi comme un déclencheur ». Les retours d’expérience des entreprises touchées telles que Saint Gobain, Renault ou encore Equifax ont également mis en avant la responsabilité des dirigeants en cas de survenance d’un sinistre. « Saint-Gobain a annoncé des coûts de l’ordre de 220 millions d’euros liés à l’attaque Petya/NotPetya qui ne seront pas couverts puisqu’aucune police cyber n’avait été souscrite par le spécialiste des matériaux de construction. Et comme pour tout contrat d’assurance, il est plus facile de négocier le niveau de cotisation avant un sinistre, qu’après sa survenance », confie un observateur.
Des lignes jusqu’à 200 millions d’euros
Au 1er janvier, le marché a senti un le segment de la cyber assurance frémir. En premier lieu sur les souscriptions. « De 40 millions d’euros de primes en 2016 en France, nous devrions dépasser les 100 millions d’euros en 2018 », prévoit Timothée Crespe. « Nous avons été sollicités sur des montages d’assurance cyber allant jusqu’à 200 millions d’euros fin 2017/début 2018, alors que les grandes entreprises n’achetaient pour la plupart que quelques dizaines de millions d’euros », ajoute Renaud de Pressigny, directeur général de QBE France. Le marché reste toutefois résiduel comparativement aux 4 milliards de dollars de primes collectées sur le marché nord-américain.
L’inquiétude suscitée par les attaques survenues en 2017 n’est pas le seul moteur du développement du segment en France. La réglementation explique également cette poussée des souscriptions de police d’assurance. « La transposition de la directive RGPD va obliger les entreprises à notifier quand elles auront eu une brèche de sécurité et un piratage de données personnelles que ce soit de leurs clients ou de leurs collaborateurs. En conséquence, les entreprises qui n’avaient pas de couverture cyber devraient en souscrire une. Ce fut le cas aux Etats-Unis, il y a plusieurs années quand une réglementation similaire a été adoptée », prévoit Xavier de Font-Réaulx, directeur général de Théorème.
Au-delà de la simple couverture d’assurance
La nouvelle directive prévoit des sanctions allant de 20 millions d’euros à 4% du chiffre d’affaires annuel mondial si les entreprises ne se mettent pas en conformité avec le règlement. 11 critères, détaillés dans l’article 83 de la directive permettent à l’autorité de contrôle, la CNIL en France, de caractériser l’infraction et de déterminer le montant de l’amende.
Toutes les sociétés sont concernées et sont dès lors incitées à souscrire une police d’assurance « pour bénéficier de services qui dépassent le simple cadre indemnitaire, comme le conseil juridique de la part des services de l’assureur, d’une assistance en cas d’enquête de la CNIL en France. Nos clients montrent également une attente en matière d’accompagnement sur la mise en conformité avec la nouvelle réglementation européenne », affirme le practice leader cyber d’Aon France.
Le marché s’est donc adapté à ces nouvelles demandes du marché. « Nous avons intégré, pour compléter notre offre cyber, des services tels que les tests d’intrusion dans les systèmes d’information de l’assuré ou le conseil en gestion de la crise cyber », indique le directeur général de QBE France.
Face à cette demande accrue, de nombreux acteurs se sont positionnés sur ce marché, principalement aux mains des assureurs anglo-saxons jusqu’ici, plus matures de par leur expérience sur le marché américain. « Tous les assureurs français, y compris les mutuelles, ont ouvert cette branche. En trois ans, le nombre d’assureurs qui souscrivent de la police cyber a été environ multiplié par 5 en France », selon Timothée Crespe. Une pléthore d’entrants sur le marché qui renforce les capacités sur le segment. Elles se montent à environ 600 millions d’euros preuve que les réassureurs viennent également en renfort. à mesure que le marché s’amplifie, les réassureurs se montrent cependant particulièrement attentifs sur le risque de cumul. « La couverture cyber assurance produit à la fois des garanties de responsabilité civile et des garanties de dommages. Par conséquent sur une attaque cyber d’envergure, il y a un véritable risque de cumul », prévient M. Crespe.
Le spectre du cumul
« On pourrait imaginer des scénarios d’attaques visant simultanément un pan entier de l’économie, ce qui générerait un cumul majeur pour les assureurs et réassureurs », précise Renaud de Pressigny.
L’un des leviers pour limiter le risque d’intensité d’une cyber assurance concerne les franchises prévues dans les contrats. Elles sont plus proches de celles rencontrées dans les contrats de dommages aux biens que celles des contrats de responsabilité civile générale. Pour des entreprises réalisant 500 millions d’euros de chiffre d’affaires, elles oscillent entre 100 000 et 250 000 euros. Au-delà du milliard de chiffre d’affaires elles démarrent aux alentours de 500 000 euros.
Par ailleurs les couvertures des contrats cyber se distinguent des contrats relevant de la RC générale et du dommage aux biens. Elles s’appliquent à des dommages immatériels, limitant les duplications de garanties et réduisant, de fait, le risque de cumul. En théorie, car dans les faits, le marché français n’a pas encore totalement choisi entre ligne spécialisée ou garantie en inclusion. « Aux Etats-Unis, la question a été tranchée après l’affaire du vol des données de Sony en 2014. Le risque cyber est désormais exclu des contrats de RC générale. En France, les polices, notamment en responsabilité civile générale, sont très larges. Elles couvrent en tous risques sauf et intègrent, en partie, le risque cyber, explique Timothée Crespe. Ce schéma d’inclusion impose de traiter le risque cyber par deux polices séparées avec des garanties dans le contrat dommages aux biens et dans le contrat de RC générale. En cas de sinistres, il faudrait donc faire jouer deux polices différentes avec potentiellement deux assureurs distincts. »
Le marché cherche par conséquent à se structurer sur une ligne de business indépendante des autres lignes classiques en lançant des offres dédiées spécifiquement au cyber. Une concurrence accrue qui « permet d’orienter les tarifs à la baisse malgré la forte demande », souligne Renaud de Pressigny.
A la recherche de la donnée
L’objectif des assureurs est par ailleurs de souscrire pour récolter le plus de données possible sur la sinistralité, seul moyen d’affiner la modélisation d’un risque qui reste relativement jeune. « Contrairement au risque cat’nat’ par exemple, il existe un véritable sujet de confidentialité qui rend la collecte de données de sinistralité particulièrement complexe », poursuit le directeur général de QBE.
Ils peuvent d’autant plus pratiquer des tarifs compétitifs que, pour l’heure, malgré les évènements de 2017, la sinistralité reste relativement faible. « Le S/P moyen de la branche se situe aux alentours de 10% », estime un observateur du marché. Ce qui laisse des marges de manœuvre conséquentes pour attaquer le segment des grands comptes. Mais pas seulement. ETI et PME sur cette ligne métier attisent également les convoitises. « Elles sont nos priorités », confirme Renaud de Pressigny. Et leur sensibilité aux risques cyber est de plus en plus forte.
Et quid de la sensibilité au risque des assureurs ? Elle est forte, mais les points de vulnérabilité sont encore nombreux. « Au même titre que les banques, les assureurs sont des cibles privilégiées pour les cyber criminels, car elles détiennent des données qui se revendent à prix d’or, poursuit notre observateur. Mais l’ouverture de leur SI consécutive à la multiplication des partenariats en distribution ou en gestion de sinistres laisse entrevoir des failles qu’ils vont devoir combler. Sans oublier la menace liée au facteur humain à l’intérieur même des compagnies ». Gageons que le secteur de l’assurance ne tombera pas dans le syndrome du cordonnier...
[vc_row][vc_column][vc_cta h2="QBE" h4="Protéger les entreprises sous tous les angles" add_button="right" btn_title="Contact" btn_link="url:https%3A%2F%2Fqbefrance.com%2F||" btn_add_icon="true"]QBE, présent en France depuis 20 ans, fait partie des plus grands acteurs mondiaux de l’assurance et de la réassurance, et accompagne les entreprises dans la couverture de leurs risques dans plus de 150 pays.[/vc_cta]À voir aussi
Assurance cyber : Entre forte croissance et recherche de maturité
HDI Global SE : "En cyber, notre focus premier reste la qualité du risque"
Cyber : L'Assemblée nationale adopte le paiement des rançons
Cyber : Bercy tranche sur le paiement des rançons et les captives