Le marché de l’assurance cyber s’assouplit peu à peu

Après avoir frôlé la sortie de route en 2022, l’assurance cyber se dirige vers la sortie de crise. Ce marché, qui ne représente «que» 9,2 milliards de dollars de primes début 2022 au niveau mondial selon Munich Re, a connu ses pires années entre 2020 et 2021 avec l’explosion des attaques par ransomware. L’Europe, et la France en particulier, n’ont pas échappé à ce retournement alors que, cinq ans auparavant, les compagnies se bousculaient pour vendre ces nouvelles protections. A tel point que le président de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), Oliver Wild, s’interrogeait même l’an dernier sur l’existence d’un marché de l’assurance cyber dans 5 ans en France.

Mais les choses semblent désormais aller mieux. « Nous avons pu constater des renouvellements un peu moins durs que ceux de l’année dernière en termes de majorations tarifaires et de hausses des franchises pour les clients », rapporte Diego Sainz, référent technique cyber du courtier Verspieren.

Ce constat est partagé. « Les derniers renouvellements ont mis en évidence un début de stabilisation du marché après une situation très tendue, malgré la persistance des sinistres. Les évolutions tarifaires sont très variables en fonction des spécificités de chaque programme, mais dans l’ensemble on observe des majorations beaucoup plus modérées en ce début d’année 2023 après des hausses en 2022 de l’ordre de 45% en moyenne sur l’Europe continentale », décrit Anne-Yvonne Autia responsable cyber, RC et middle market au sein du département lignes financières de Marsh France. Selon les données recueillies auprès de différents acteurs, les majorations tarifaires tourneraient autour de 10% en France, où le marché était estimé à 219 millions d’euros en 2021.

«Boucle rétroactive»

Cette hausse modérée, en comparaison à l’année précédente, s’explique par une meilleure sensibilisation des entreprises. La prise de conscience est partagée, comme en témoigne la première place du risque cyber dans plusieurs cartographies des risques. En conséquence, les entreprises s’adaptent : « Alors que les RSSI ont longtemps vu le budget de cybersécurité comme concurrent à d’autres budgets, ils l’assimilent désormais à quelque chose d’utile pouvant même créer un avantage concurrentiel. De manière générale, il y a un changement de paradigme dans les entreprises en termes de prise en compte du risque », relate Lari Lehtonen, responsable d’équipe cyber développement de Marsh France.

Les chiffres en témoignent, les défenses sont plus poussées : en 2022, 45% des entreprises ont subi au moins une cyberattaque réussie, cause de dommages matériel et réputationnel, contre 54% en 2021 et 65% en 2019, selon la huitième édition du baromètre OpinionWay pour le Cesin (Club des experts de la sécurité de l’information et du numérique) réalisé auprès de plus de 300 responsables cybersécurité de grandes entreprises et d’ETI/PME.

Les assureurs n’y sont pas étrangers. « Il existe une boucle rétroactive entre cybersécurité et cyber assurance. Les assureurs ont pris ce nouveau rôle de prescripteur de la cybersécurité et incitent les sociétés à investir », complète Lari Lehtonen, responsable d’équipe cyber développement de Marsh France. Outre l’association avec des experts, le secteur continue de miser sur la prévention.

Le courtier Verspieren a par exemple lancé une nouvelle offre nommée Cybermesure qui permet aux entreprises de toutes tailles de mesurer précisément leur exposition aux menaces cyber dans leur contexte et d’évaluer leur niveau de sécurité vis-à-vis de leurs pairs. Tout ceci pour « les aider à définir une stratégie de réduction et de transfert du risque cyber efficace, et adaptée à leurs enjeux et leur budget ». Les assurtechs Stoïk et Dattak, qui se sont lancées ces deux dernières années sur le marché des TPE et PME, misent aussi sur cette dimension. Plus globalement, le marché profite aussi de la baisse des sommes versées en ransomware. Selon Chainanalysis, après avoir grimpé à 765 millions de dollars en 2020 et 2021, elles sont retombées à 457 millions de dollars en 2022 au niveau mondial.

Complémentaire au marché

Les assurés profitent aussi des évolutions de l’offre sur le marché qui devrait atteindre 22 milliards de dollars en 2025 dans le monde. Les hausses tarifaires et de rétention en France ont permis aux assureurs de retrouver la rentabilité en 2021 avec un ratio combiné de 88% contre 167% en 2020 selon l’étude Lucy de l’Amrae.

« Le marché de l’assurance cyber pourrait avoir atteint un prix d’équilibre, au sens d’une meilleure tarification du risque, permettant d’attirer de nouveaux acteurs », juge Anne-Yvonne Autia. « De 2019 à 2021, la croissance des cotisations sur le marché de l’assurance cyber s’explique en grande partie par les majorations tarifaires, abonde Diego Sainz. 2023 semble marquer une nouvelle période d’acquisitions de nouveaux assurés dans un contexte de plus grande sensibilisation à ce risque. Un certain regain d’intérêt des assureurs cyber a aussi été observé. La compétitivité sur le marché en termes de mise en concurrence dans le cadre des renouvellements s’est améliorée. »

En 2022, le marché s’est aussi structuré grâce à un travail de clarification des contrats des assureurs et à l’impulsion des pouvoir publics. En tranchant le cadre juridique du paiement des cyberrançons et en créant les captives de réassurance à la française, l’exécutif donne les moyens au secteur de s’organiser. Les assureurs, eux, misent sur l’innovation, avec les premiers transferts de risque aux marchés financiers ou encore la création d’une mutuelle spécifique par une douzaine de groupes européens. « Ces solutions ne concernent que les groupes assez structurés pour pouvoir mettre en place de telles solutions, qui ne sont pas concurrentes du marché mais complémentaires », précise Diego Sainz. Pour un tel risque, la complémentarité s’avère nécessaire.