Grands risques : La réassurance, clé de voûte de l’assurance cyber
CHRONIQUE - L'assurance cyber reste l’un des segments du marché de l’assurance les plus dynamiques en termes de croissance.
A l’échelle mondiale, ses primes s’élevaient à 12 milliards de dollars en 2022 et selon nos estimations, elles devraient atteindre 23 milliards de dollars d’ici 2025 (taux de croissance moyen de 25-30% par an). Les opportunités sont évidentes, mais quel risque le cyber représente-t-il ? En effet, assureurs comme réassureurs ne sont pas non plus à l’abri du risque de cyberattaque : n’importe quelle fuite de données ou perturbation de services est susceptible d’affecter leur résultat voire leur capitalisation. Si, pour certains assureurs, une cyber-attaque pourrait se solder par une baisse significative de leurs revenus, nous estimons néanmoins que les assureurs multirisques globaux notés par S&P Global pourraient supporter un tel scénario, avec un impact limité sur leur solvabilité.
Dernièrement, la fréquence et la sévérité des indemnisations cyber (notamment liées aux rançons) ont affaibli la profitabilité de l’activité. En réponse, assureurs et réassureurs ont réduit leurs expositions, augmenté leurs tarifs et durci les termes et conditions de leurs polices. La récente augmentation des primes est donc essentiellement due à une hausse des tarifs, plutôt qu’à une progression sous-jacente du volume des contrats. Plusieurs solutions permettraient d’inverser cette tendance : augmentation du nombre d’assureurs couvrant le cyber-risque ; expansion de la réassurance ; développement de la rétrocession ; augmentation du nombre de PME souscrivant à une police cyber.
Rentabilité volatile
En plus de réduire leurs expositions, l’objectif des assureurs est également d’améliorer le profil de risque de leurs assurés. En cela, les augmentations des primes et le durcissement des polices ont porté leurs fruits pour compenser la pression exercée par la fréquence élevée des sinistres. En 2022, les ratios combinés bruts se sont améliorés pour atteindre une fourchette de 64%-87%, selon la région du monde. Cependant, nous pensons que la rentabilité restera volatile en raison de la nature très dynamique de la menace cyber.
Il est important de rappeler que l’assurance cyber repose en grande partie sur la protection apportée par la réassurance et la rétrocession, qui restent critiques pour permettre une croissance durable du marché. En 2022, 50% à 65% des primes cyber ont été cédées selon les assureurs et certains acteurs approchent de leur limite d’exposition. Par ailleurs, les réassureurs ont connu une année 2022 difficile due à une rentabilité détériorée de leur portefeuille cyber dont les ratios combinés brut et net étaient respectivement 107% et 101%. Si nous attendons donc une augmentation des tarifs pour la cyber-réassurance, nous considérons que cette hausse pourra être essentiellement absorbée par les assureurs primaires. Enfin, le développement du marché de la rétrocession, pour l’instant peu sollicité (11% des primes), pourrait bénéficier à l’essor de la cyber-réassurance.
Le secteur est lui-même exposé
Toutefois, comme les autres entreprises, les assureurs et les réassureurs sont eux-mêmes exposés aux cyber-risques, d’autant qu’ils possèdent une grande quantité d’informations personnelles sur leurs clients. Cette exposition est d’ailleurs accentuée par la numérisation progressive des activités d’assurance via le développement d’outils en ligne, d’applications mobiles et par le traitement numérique des sinistres. Selon nous, la pandémie de COVID-19 a accéléré cette tendance à la numérisation et accru la vulnérabilité des assureurs aux atteintes à la cybersécurité. Les cyber-attaques sont susceptibles d’entraîner des problèmes financiers, opérationnels mais également réputationnels.
Néanmoins, nous pensons qu'en moyenne, les assureurs multirisques globaux et les réassureurs pourraient gérer une cyber-attaque dans la plupart des cas grâce à leur solide capitalisation et à la diversification de leurs sources de revenus. En revanche, pour les acteurs affichant une rentabilité plus faible ou des lacunes structurelles dans la gestion des cyber-risques, les pertes pourraient peser plus lourd. Cela pourrait impacter les bénéfices des assureurs concernés et, à long terme, entraîner un affaiblissement de leur solvabilité.
Camille Gerard Credit Rating Analyst S&P Global Ratings
À voir aussi
Grands risques : Mohamed Bouacem rejoint RSA France
Cyber : Stoïk lève 25M d’euros
Cyber : Dattak fait appel à Sompo pour l’international
Beazley : Lucien Mounier nommé responsable cyber pour l’Europe