Assurance cyber : Paris se rêve en capitale

C’est l’arbre qui cache la forêt. En clarifiant le cadre juridique de l’assurance cyber, sans toutefois mettre d’accord l’ensemble des assureurs (lire ‘La parole à...’), Bercy a envoyé un signal fort à l’écosystème français avec la publication du rapport de la direction générale du Trésor intitulé Le développement de l’assurance du risque cyber. « Ce rapport va dans la droite ligne de ce que le secteur attendait et démontre que les esprits bougent sur le sujet », se réjouit Eleonora Sorribes, associée du cabinet HMN & Partners, pour qui « le rapport se démarque aussi car il donne des solutions pratiques pour développer l’assurance cyber, outre la dimension juridique ».

Afin de « faire de la place de Paris un pôle d’expertise en matière d’assurance cyber » et de permettre au marché français d’atteindre « sa pleine maturité », le Trésor propose un plan d’actions et la mise en place d’une task force pour le piloter. « Le secteur de l’assurance est capable de se transformer pour prendre en charge ce nouveau risque », affirme Emmanuel Moulin, directeur général du Trésor.

Avant de se transformer, il s’agirait de grandir. France Assureurs estime le marché français de l’assurance cyber à 219 millions d’euros en 2021, soit 3,1 % du total des cotisations de l’assurance des dommages aux biens des professionnels ou 0,35 % du chiffre d’affaires des assurances de biens et responsabilité. S’il redevient excédentaire en 2021 avec un ratio combiné (frais de gestion et coûts des sinistres rapportés aux primes) de 88 % contre 167 % en 2020, le diable se cache dans les détails. Selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae), l’instauration de franchises a masqué la sinistralité de fréquence et de faible intensité, de sorte que celle-ci n’a pas pesé sur les résultats techniques. Les capacités souscrites par les assureurs ont diminué de 22 % à moins de 40 millions d’euros sur le segment des entrerpises de taille intermédiaire (ETI).

Captives

Pour améliorer le partage des risques entre assurés, assureurs et réassureurs, le Trésor propose d’abord de renforcer la résilience des entreprises en développant le recours aux captives de réassurance. « Une provision spécifiquement dédiée aux captives de réassurance, facilitant la mutualisation des pertes sur un temps long, inciterait les entreprises à en constituer », explique le rapport. L’idée est d’adapter les paramètres de la provision pour égalisation en étendant sa couverture non plus aux risques exceptionnels seuls, mais aussi à tous les sinistres ayant une origine cyber.

« Vouloir développer l’assurance cyber en excluant les assureurs et les réassureurs traditionnels du dispositif envisagé pour les seules captives d’entreprise est paradoxal », déplore Franck Le Vallois, directeur général de France Assureurs. D’autant que cela ne concernerait pas toutes les entreprises : « Cette solution nécessite une grande organisation et des moyens pour sa mise en œuvre. Or le risque cyber concerne toutes les typologies d’entreprises et un grand nombre d’entre elles n’ont pas les moyens d’avoir une telle structure », décrit Diego Sainz, référent technique cyber du courtier Verspieren. « Pour développer les couvertures des entreprises, grandes ou petites, il faut que tous les acteurs, captifs ou pas, puissent utiliser les mêmes mécanismes de mutualisation du risque », plaide au contraire Franck Le Vallois. Quoi qu’il en soit, il faudrait attendre 2023 et une adaptation du Code général des impôts et du Code des assurances pour permettre ces évolutions. Bercy, qui voulait réviser le cadre fiscal des captives de (ré)assurance dès 2022, devait déjà déposer un projet sur la question à la Commission européenne en décembre.

Assurance paramétrique

Le Trésor propose aussi de promouvoir des méthodes innovantes, comme le transfert du risque aux marchés financiers pour libérer des capacités à travers des mécanismes de titrisation (insurance-linked securites). « Outre le manque de données et les difficultés de modélisation du risque cyber, la remontée des taux, qui rend désormais attractifs des investissements bien moins risqués, condamne cette solution à moyen terme », souffle le dirigeant d’un grand réassureur. « Le recours aux marchés financiers pour porter une partie du risque cyber est difficilement envisageable à court terme », reconnaît même le Trésor.

Les espoirs reposent finalement sur le développement de l’assurance paramétrique. Celle-ci permet, sans le recours à un expert, le versement automatique d’une prestation dès le franchissement d’un indicateur qui traduit la survenance du sinistre. Mais c’est là que réside le cœur du problème : il n’existe encore aucun paramètre disponible, facilement mesurable et suffisamment corrélé au risque assuré. En outre, « l’assurance paramétrique ne peut traiter l’intégralité du risque cyber dans la mesure où elle ne permet pas de gérer les pertes en cas de sinistre extrême ni de traiter certaines composantes du risque », précise le Trésor.

Malgré leurs limites respectives, toutes ces solutions témoignent d’une nécessité partagée : l’accès à plus de données. Un élément dont Bercy a pleinement conscience puisqu’il propose la création d’un Observatoire de la menace cyber permettant un partage d’informations sous l’égide de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Afin de respecter la politique de la concurrence, les données remontées devraient alors être agrégées et anonymisées. « Espérons que tous les acteurs concernés se mobilisent. Ce sont des ambitions louables, mais il s’agit de données essentielles pour les assureurs qui pourraient être réticents à l’idée de les partager », juge Elenora Sorribes. La route est encore longue.

Pour aller plus loin, le rapport de la direction générale du Trésor, septembre 2022, dans la version digitale de L’AGEFI HEBDO

www.agefi.fr