Les risk managers poussent pour une assurance cyber sur le modèle des «cat nat»

L’appréhension du risque cyber s’affirme comme l’un des grands défis des années à venir pour l’assurance. L’Association pour le management des risques et des assurances de l’entreprise (Amrae) se fait l’écho d’une voix de moins en moins modulée à l’occasion de la publication de sa deuxième enquête sur le sujet : «Si l’assurance classique ne permet pas de couvrir ce risque, pourquoi ne pas réfléchir à des mécanismes d’amortissement spécifiques pour les «catastrophes cyber». En impliquant, par exemple, les pouvoirs publics sur le modèle du régime «catastrophe naturelle»». Pour l’association, la raison est toute trouvée : «Les montagnes russes de la sinistralité, aussi bien en fréquence qu’en intensité, laissent à penser que le marché est encore loin d’avoir atteint le degré de mutualisation qui garantira un équilibre économique pérenne.» L’organisation ne plaide toutefois pas pour une assurance obligatoire.

Ce constat est partagé par d’autres acteurs. Après une première tentative en 2020, Axa est revenu à la charge en septembre 2021 pour plaider en faveur d’alliance avec les États. En commentant les résultats de son huitième Futur Risk Report, qui place les risques climatiques, cyber et pandémiques sur le podium des menaces des risques futurs, le directeur général adjoint Frédéric de Courtois est clair :«Ces risques appellent de nouvelles méthodes de coopération au niveau international puisque les trois premiers risques n’ont pas de frontières mais aussi plus de coopération entre les assureurs privés et l’État».

Retour à la rentabilité en 2021

Face à la pression, Bercy s’est emparé du sujet et la direction générale du Trésor a lancé une grande concertation nationale en juillet 2021 sur l’assurance cyber. Mais les discussions, qui devaient aboutir à un rapport au premier trimestre finalement repoussé après les élections législatives selon nos informations, ne devraient pas donner naissance à une révolution. «Cela s’annonce très conservateur», soufflait récemment une partie-prenante à L’Agefi. Dans un avis remarqué, le Conseil économique, social et environnemental (Cese) appelle au contraire à «un changement de paradigme» face au «spectre de l’assurabilité qui menace». Pour éviter de condamner le système, la troisième assemblée constitutionnelle de la République préconise de créer une branche d’assurance dédiée au cyber avec un contrat socle à destination des TPE/PME.

Le marché de la couverture assurantielle du risque cyber en France est pourtant redevenu excédentaire en 2021 après une année 2020 marquée par des pertes substantielles pour les assureurs. Selon l’étude Lucy menée par l’Amrae en février-mars 2022, le ratio sinistres sur primes ressort à 88% l’an dernier contre 167% en 2020 et 84% en 2019. Réalisée auprès de sept courtiers spécialistes du risque d’entreprise (dont Aon, Diot-Siaci ou WTW), de la mutuelle SMABTP et du syndicat des courtiers d’assurance Planète CSA, cette enquête a analysé 2.028 polices d’assurance cyber et 518 sinistres indemnisés.

Le cache-sexe des franchises

«Bonnes nouvelles : le marché a retrouvé son équilibre global, la prévention a payé, les sinistres de forte intensité ont baissé mais uniquement pour les grandes entreprises», analyse Oliver Wild, président de l’Amrae. Si les primes perçues ont augmenté de 44% en 2021 à 185 millions d’euros – France Assureurs estime qu’au total en France les primes atteignaient 219 millions d’euros en 2021-, les indemnisations versées ont surtout diminué de 24% sur un an à 163 millions d’euros. Cette baisse s’explique par une large diminution de la sinistralité des grands groupes, qui captent 82% des primes, avec 57 sinistres en 2021 et une fréquence de 24% contre 86 sinistres en 2020 et une fréquence de 34%.

Le diable se cache toutefois dans les détails : «Cette baisse est-elle réellement liée aux efforts de prévention accomplis par les entreprises ? Ou à l’instauration de franchises qui ont masqué la sinistralité de fréquence et de faible intensité ?», se demande l’Amrae. La franchise moyenne pour les grands groupe, «anecdotique», jusqu’ici, atteint 4 millions d’euros en moyenne en 2021. «Le nombre de sinistres ‘extra small’ et ‘small’ est passé de 63 en 2020 à 33 en 2021. On ne peut exclure que ces sinistres indemnisés moins de 300.000 euros aient en réalité coûté beaucoup plus cher aux entreprises : au montant de l’indemnisation peuvent s’ajouter plusieurs millions d’euros de franchise. Mais ils n’ont pas pesé sur les résultats techniques des assureurs», estime l’association.

Hausse des tarifs pour les ETI

Cette baisse de la sinistralité ne concerne pas les ETI. Les assureurs ont ainsi indemnisé 110 sinistres en 2021 contre 75 en 2020 pour une indemnisation globale multipliée par trois à plus de 63 millions d’euros. «Elles peuvent donc s’attendre au même traitement que les grandes entreprises lors de leurs renouvellements 2022, avec une très forte augmentation des taux de primes doublée d’un durcissement sévère des conditions de souscription», prévient Philippe Cotelle, l’administrateur de l’Amrae qui a piloté l’étude.

Car le traitement de 2021 reste dans les têtes de beaucoup de risk managers. En une année, les capacités souscrites par les assureurs ont diminué de 22% à moins de 40 millions d’euros, preuve de la dureté des renouvellements. Surtout, le taux des primes a doublé pour les grandes entreprises, progressé de 56% pour les ETI et même explosé de 642% pour les entreprises de plus petite taille. A tel point que ces derniers renouvellements, qui ont vu 11 grandes entreprises des 251 qui avaient souscrit une assurance cyber en 2020 renoncer à le faire en 2021, symbolisent «une forme de perte de confiance» dans les assureurs, selon l’Amrae.

En attendant que le marché retrouve cette confiance – le courtier spécialisé Howen estime que des signes naissants de modération des hausses des tarifs laissent espérer une stabilisation en fin d’année -, les différentes parties prenantes attendent un rapport du Trésor qui s’annonce déjà décevant.