La France ne se résout pas à voir le risque cyber devenir inassurable

Mario Greco a jeté un pavé dans la marre. En déclarant au Financial Times que « ce qui deviendra inassurable sera la cybernétique », le directeur général de Zurich Insurance, l’un des plus gros assureurs d’entreprises au monde, a relancé les débats autour de l’assurance du risque cyber. Et ce ne sont pas les acteurs français qui nieront l’importance du problème : en 2022, pour la cinquième année consécutive, France Assureurs, la fédération de l’assurance en France, a placé les cyberattaques majeures comme la principale menace à un horizon de cinq ans. Entre la fermeture de Camaïeu, qui semble avoir été achevé par une cyberattaque en 2021, les deux mois de paralysie de l’hôpital de Corbeil-Essonnes ou plus récemment les problèmes rencontrés par la région Normandie, les conséquences de ces attaques ont fait couler beaucoup d’encre cette année. La section cyber du parquet de Paris enquêterait ainsi sur 600 cyberattaques à travers tout le territoire, contre 65 en 2019, rapporte Franceinfo.

Regain d’appétit

Mais la position de Mario Greco, qui affirme que l’évolution de la menace rendra ce risque insurmontable pour l’assurance, n’est pas partagée par tous. « Bien qu’on observe une forte augmentation en fréquence et en intensité des sinistres depuis presque trois an, entraînant une période d’instabilité sur le marché, cela me semble pessimiste puisqu’il existe déjà des mécanismes d’assurance sur des risques plus considérables en volumes et en montant et que l’assurance cyber est toujours sur le marché », réagit par exemple Quentin Charluteau, avocat associé au sein du cabinet Simmons & Simmons à Paris en charge du département droit des assurances et risques industriels.

Alors que les entreprises ont vu leurs primes quasiment systématiquement plus que doubler lors de leurs renouvellements de janvier 2022, le marché semble voir le bout du tunnel. En 2021, les primes ont atteint 219 millions d’euros en France. « Les dernières années ont été un défi pour l’assurance cyber dont la sinistralité a explosé à une vitesse peu prévisible. En conséquence, le marché s’est énormément durci dans le monde entier. La question de l’assurabilité a donc été soulevée par plusieurs professionnels du secteur à ce moment-là », constate Diego Sainz, référent technique cyber du courtier Verspieren, qui continue : Mais on constate aujourd’hui un regain d’appétit chez une grande partie des assureurs et une relative stabilisation des conditions de renouvellement et des conditions que peuvent proposer les assureurs à des prospects. La nécessité de cette assurance ne faisant plus aucun doute, leur inassurabilité future parait peu probable.»

Le marché se structure

« Le risque cyber pourrait toutefois devenir inassurable si un triple effort de prévention, de mutualisation et de clarification par le marché, les pouvoirs publics et les assurés n’est pas réalisé », prévient Quentin Charluteau. Les différents acteurs semblent justement s’inscrire dans cette voie. France Assureurs a par exemple réitéré ses appels à une vraie politique de la prévention dès le plus jeune âge dans un livre blanc diffusé durant l’élection présidentielle et lancé un groupe de travail sur les exclusions liées à la guerre, principale source potentielle de risque systémique. Zurich Insurance avait justement refusé de couvrir des dommages de 100 millions de dollars pour l’entreprise Mondelez en évoquant un acte de guerre, avant de trouver récemment un accord avec l’entreprise américaine. Pour le segment des TPE/PME, l’arrivée des assurtechs comme Stoïk ou Dattak et le réveil des bancassureurs, traduit le retour à l’appétit des assureurs.

Les pouvoirs publics, eux aussi, ont accéléré en 2022. En plus d’avoir avoir tranché en faveur de l’indemnisation des cyber-rançons dans la loi d’orientation et de programmation du ministère de l’intérieur 2022-2027, en la conditionnant au dépôt d’une plainte de la victime au plus tard soixante‑douze heures après la connaissance de l’atteinte, le Trésor a publié un rapport sur le développement de l’assurance cyber. Déjà, Bercy a ajouté deux catégories ministérielles pour les garanties cyber dans le Code des assurances permettant de mieux identifier les engagements des assureurs dans le domaine. Le cyber était jusqu’ici noyé dans les catégories dommages aux biens, pertes pécuniaires ou responsabilité civile. « Il s’agit d’un élément de structuration du marché à moyen terme car le risque cyber est désormais pris pour un risque autonome. Tout cela semble aller vers la création d’une branche dédiée au risque cyber au sein du Code des assurances », explique Quentin Charluteau.

Vers un partenariat public-privé ?

En outre, les captives de réassurance à la française, un mécanisme permettant de constituer une provision en franchise d’impôt pour s’auto-assurer, devraient bien être facilitées en 2023. Cette solution permet notamment aux entreprises d’avoir accès plus simplement aux contrats. « Attention toutefois à ce que ce mécanisme ne réduise pas la mutualisation », s’inquiète un assureur. « L’évolution des politiques des assureurs et les progrès des organisations publiques et privées en matière de cybersécurité ont eu un impact positif sur le marché de l’assurance Cyber », résume Diego Sainz.

En attendant, certains acteurs cherchent des solutions. Une douzaine d’entreprises européennes, parmi lesquelles Airbus, Veolia Environnement ou Michelin, ont créé leur propre mutuelle d’assurance cyber face au manque de capacité, nommée Miris, qui vient de recevoir son agrément en Belgique. Mario Greco évoque aussi un possible partenariat public-privé, à l’image de ce qui se fait en France sur les catastrophes naturelles. Les risk-managers ou encore Axa tendent aussi vers ce sens. Une piste pour les groupes de travail qui verront le jour en 2023 sous l’égide de Bercy sur le développement de l’assurance cyber ?