Assurance cyber : les bancassureurs attaquent le marché des PME

L’explosion du risque cyber oblige les bancassureurs à plancher sur leur offre de protection dans le domaine. C’est le cas de BNP Paribas qui a dévoilé mi-octobre un partenariat avec la cyber-assurtech française Stoïk. Alors qu’il commercialisait auparavant un produit structuré par Axa dans un cadre plus large, le groupe a voulu redéployer une offre spécifique avec la jeune pousse face à la numérisation croissante de l’économie. « Notre conviction est que le risque cyber doit être pris en compte par nos clients pour sécuriser leur croissance future. Cela s’inscrit dans notre stratégie de développement de services extra-financiers », explique Xavier Chopard, directeur transformation, innovation & marketing chez BNP Paribas.

Stoïk mise sur cette dynamique. « Nous cherchons à avoir toujours plus d’apports de croissance et aimerions, dans l’idée, travailler avec toutes les banques », affirme Jules Veyrat. Le cofondateur et directeur général de Stoïk, qui a déjà levé près de 15 millions d’euros en 2022 pour assurer les PME contre le risque cyber, discute avec plusieurs groupes : « Les bancassureurs ont des volumes très conséquents de cibles TPE et PME et un pouvoir de prescription extrêmement privilégié. Le fait d’avoir BNP Paribas qui recommande notre solution et redirige vers un de nos courtiers partenaires constitue une double validation qui facilite la souscription. »

D’autres banques labourent le terrain. « Le marché, assez resserré, est composé principalement de deux typologies d’acteurs : les courtiers spécialistes des risques d’entreprise, qui vont principalement cibler les grandes entreprises, et les nouveaux acteurs, qui visent plutôt les ETI et les PME », décrit Fabien Dupré, expert cybersécurité au sein des services financiers d’Accenture. Depuis septembre 2020 dans le réseau Crédit du Nord et octobre 2021 à la Société Générale, Société Générale Assurances propose par exemple une offre d’assurance cyber, à partir de 260 euros par an, couvrant les préjudices consécutifs à un virus, une attaque cyber ou une erreur portant sur les systèmes informatiques. Le Crédit Agricole, à travers sa filiale d’assurance dommages Pacifica, a lancé dès 2019 une offre de cyberprotection dans ses caisses régionales et LCL. Elle couvre les conséquences d’une attaque (dommages causés aux tiers, pertes d’exploitation, assistance…). La banque, qui compte environ 2.500 contrats cyber dans son portefeuille, propose des garanties allant de 50.000 à 5 millions d’euros avec des tarifs de quelques centaines à quelques milliers d’euros. La Banque Postale mène quant à elle une réflexion sur le sujet.

Un potentiel élevé

« L’assurance cyber est apparue comme un complément pertinent de notre palette d’offres à destination de nos clients TPE et PME. Les banquiers sont très souvent mis au courant d’une attaque cyber subie par leur client puisque cela joue in fine sur la relation bancaire, ce qui procure une légitimité aux bancassureurs pour s’emparer du sujet », rapporte Patrick Degiovanni, directeur général adjoint de Pacifica. La matière est là : les 4,1 millions de PME en France, qui représentent 99,9 % des entreprises de l’Hexagone et 44 % de la valeur ajoutée, ne sont que 0,0026 % à être assurées, soit seulement 1 % des 185 millions d’euros de primes versées au titre de la garantie cyber en 2021 (voir le graphique page 12), selon l’Association de management des risques et des assurances de l’entreprise (Amrae). Pas moins de 19 % d’entre elles ont pourtant été confrontées à une attaque en 2021, alerte la Commission européenne, avec des conséquences parfois fatales. Une étude réalisée par le courtier Bessé sur un panel de 48 incidents entre 2017 et 2021 montre que le risque de défaillances des ETI et PME françaises non cotées augmente en moyenne de 50 % dans les six mois qui suivent un incident cyber.

« Ces réflexions des bancassureurs répondent surtout aux difficultés d’aller toucher et sensibiliser les TPE-PME pour les acteurs du marché de l’assurance », observe Paul Berger de Gallardo, avocat au sein du cabinet Taylor Wessing et spécialiste de ces questions. « Si les dirigeants sont un peu plus sensibles à la couverture de ces risques que par le passé, le travail de terrain de nos banquiers reste très important », estime Xavier Chopard.

Mais ces efforts sont loin d’être dénués d’intérêt. « Les bancassureurs sont des groupes universels qui se doivent de couvrir tous les besoins de leurs clients. Ces évolutions s’inscrivent aussi dans le développement de leurs activités assurantielles qui représentent un relais de croissance majeur et un nouvel enjeu dans la conquête du marché de l’assurance des TPE et PME », analyse David Sardas, expert banque & assurance au sein des services financiers d’Accenture. Certes, le marché de l’assurance cyber a été marqué par des pertes ces dernières années, mais la rentabilité d’un client, notamment en assurance, s’analyse sur l’ensemble de son portefeuille, pas sur un produit. « Proposer une assurance cyber permet de fidéliser un client », complète David Sardas.

Un risque récent et émergent

Les défis restent majeurs pour les bancassureurs. Le risque cyber étant relativement récent, les acteurs disposent de peu de données, rendant la mesure du risque très compliquée. « Les bancassureurs ont commencé par chercher à adosser ce service en s’appuyant sur des compétences et expertises internes avant de changer de stratégie face à la complexité de la chose », explique Fabien Dupré. « Une des difficultés de cette couverture est qu’elle nécessite des expertises différentes de ce que nous faisions jusqu’à présent pour apprécier le risque. C’est un risque émergent, pas une extension de garantie d’une multirisque pro ou entreprise, qui nécessite d’avoir des équipes spécialisées », illustre Patrick Degiovanni. L’offre de Pacifica est par exemple assurée en partage avec Hiscox alors que la Société Générale a travaillé avec AIG pour se lancer.

Les bancassureurs misent aussi sur un rôle d’assistants durant la crise, souvent grâce à des partenariats avec des sociétés spécialisées qui permettent en outre d’investiguer sur les attaques. « Certaines entreprises, en particulier les TPE et PME, négligent cette phase d’investigation numérique car jugée trop onéreuse, complexe, voire inutile. Cela va de pair avec la volonté de redémarrer au plus vite des activités », décrit une étude sur la sinistralité cyber du courtier Bessé. Mais les expertises permettent surtout de diminuer le risque. « Le partenariat permet de s’appuyer sur des acteurs en mesure de ‘pricer’ correctement le risque et de mettre en place les mesures nécessaires pour le limiter. Il faut arrêter de considérer que le risque cyber est non assurable, il faut le rendre assurable », explique David Sardas. L’offre de Stoïk associe par exemple couverture assurantielle et logiciel de cybersécurité avec un scan externe, un outil de simulation de phishing et bientôt un scan interne pour détecter les mauvaises configurations et vulnérabilités d’infrastructures cloud. Société Générale Assurances s’appuie sur Oppens, une filiale du groupe Société Générale spécialisée dans le conseil et l’accompagnement des TPE-PME dans l’amélioration de leur cybersécurité. Pacifica compte accélérer sur la question, comme l’explique Patrick Degiovanni : « Nous avons démarré avec une offre au profil assurantiel et d’assistance. Pour réduire le risque, nous réfléchissons désormais à proposer à nos clients des analystes d’audit des systèmes d’information. »

Les offres des bancassureurs se distinguent, enfin, par leur frilosité concernant le remboursement des ransomwares, les logiciels d’extorsion. Seule Pacifica propose une telle garantie, après s’être retirée de l’accompagnement lors du paiement. « En tant que nouveaux entrants, les bancassureurs ne vont sans doute pas se positionner immédiatement sur les garanties rançons et attendre d’avoir un peu plus de recul sur l’évolution du marché », juge Pierre-Olivier Leblanc, avocat associé chez Taylor Wessing en charge de la pratique assurance. Dans tous les cas, il faudra compter sur eux dans le futur.