Les assurtechs se lancent dans l’assurance cyber

Les assurtechs tricolores veulent combler les trous sur le marché de l’assurance cyber. Après l’engouement de 2016-2017 sur ce segment, les pertes significatives liées à certains incidents majeurs ont incité les assureurs traditionnels à réduire la voilure et mettre en avant le manque de sensibilisation des entreprises au risque cyber. Si bien qu’en 2021, et malgré une hausse de 52 % sur un an des cotisations, les primes d’assurance cyber ont atteint « seulement » 219 millions d’euros. « Plusieurs raisons expliquent pourquoi les assureurs traditionnels sont en retard sur ce segment : il s’agit d’un risque nouveau, sur lequel il n’y pas assez de données historiques, et très technique, d’autant plus difficile à modéliser que les partages de données sont rares tant elles sont confidentielles par nature. Enfin, les modèles statistiques classiques ne sont pas assez dynamiques pour appréhender des cybermenaces en constante évolution », analyse Maxime Cartan, cofondateur et président de Citalid, start-up tech française fondée en 2017 qui a développé une plateforme de management des risques cyber et d’aide à la décision à l’usage des responsables de sécurité des systèmes d’information et risk managers. « Le nerf de la guerre, c’est la donnée ! », résume Florian Graillot, associé chez Astorya VC.

Plus agiles, les start-up capitalisent sur leur capacité à récolter et analyser ces données. Mais aussi sur leurs propositions de services. « Le marché devient de plus en plus granulaire face aux difficultés pour traiter le sujet. La tendance chaude, venue des Etats-Unis, est celle d’un mix services des assurtechs entre assurance et services », explique Florian Graillot. Quelques mois après la levée de 3,8 millions d’euros de Stoïk, cyber-assurtech qui associe couverture d’assurance et logiciel de sécurité pour assurer les PME, plusieurs levées seront annoncées dans l’année. « Nous sommes clairement dans un moment de marché stimulant pour les acteurs de l’assurance cyber », analyse le spécialiste des investissements dans les assurtechs. « Le moment est idéal pour effectuer des levées de fonds. Le sujet passionne les fonds d’investissement qui regardent ce qu’il se passe mais sont encore en phase d’apprentissage », abonde Adrien Choquet, directeur exécutif chez Gimar&Co, pour qui « il y a aussi une dimension souveraine dans le sujet de l’assurance cyber à ne pas sous-estimer. Il faut financer des champions européens dans le cyber en général, et donc dans l’assurance risque cyber ».

Pénurie de profils

Les défis sur la route des assurtechs restent nombreux. « Trouver des fonds nous a pris deux semaines, trouver un porteur de risque, six mois », tempère Jules Veyrat, cofondateur et dirigeant de Stoïk. Un autre sujet majeur reste la tarification pour lier distribution des polices et juste niveau de cotisation afin assurer la mutualisation. « Distribuer leur produit d’assurance reste le principal challenge de ces assurtechs, surtout vis-à-vis des TPE-PME, pour lesquelles la pertinence du parcours fera la différence », analyse Florian Graillot. Dans cette logique, Stoïk est devenu courtier grossiste en assurance cyber pour capitaliser sur le savoir-faire des grossistes. « Trois facteurs conditionnent le succès d’une assurtech cyber : le process de souscription qui permet de sélectionner, quantifier et réduire les risques par la prévention, une gestion des sinistres efficace et une distribution optimale des solutions », résume Jules Veyrat. Pour Maxime Cartan, l’essentiel est ailleurs. « Le grand défi des assurtechs cyber est de s’imposer comme un tiers de confiance crédible et neutre auprès des entreprises ».

Mais la principale menace pourrait bien être celle commune au secteur cyber : trouver les compétences. « Construire une équipe qui associe des expertises différentes n’est pas chose aisée », reconnaît Jules Veyrat. « Dans le cas de Stoïk par exemple, nous avons regroupé une expertise assurantielle forte, une expertise cyber indispensable, une expertise data qui conditionne la sélection et l’appréhension du risque, et une dimension entrepreneuriale et de prise de risque », poursuit l’ancien de Philosophie Magazine. « Il existe peu, voire pas, de profils qui allient cette double compétence assurance et cybersécurité. Sur le court terme, les assurtechs positionnées sur ce segment devront recruter des actuaires qui comprennent ce risque. La solution est souvent de les former », estime Adrien Choquet. « Il y a une pénurie de profils avec une expertise cyber et de développeurs sur le marché », admet Maxime Cartan, qui se veut toutefois rassurant : « Une de nos forces est d’avoir une mission et un projet qui attirent les bons talents et d’être également capables de former en interne des juniors motivés. »