StoïkBlogCyberassurance

Tour d’horizon de l’assurance cyber

Camille de Montgolfier
Dernière mise à jour :

Premier marché au monde de l’assurance cyber, le marché américain est en train d’opérer un basculement de modèle, impulsé par des acteurs innovants de l’assurance, pour allier des outils de cybersécurité pré-intrusion à la couverture post-intrusion des entreprises. Moins mûrs, les marchés français et européens comptent de rares acteurs pour proposer ce modèle ; pourtant essentiel pour instaurer un cercle vertueux.

Assurance cyber Europe France USA

Le marché américain de l’assurance cyber

Un immense marché aux acteurs mûrs 

En avance de près d’une décennie sur l’Europe, les États-Unis ont vu les premières assurances cyber naître à la fin des années 90, en même temps que les entreprises technologiques majeures qui dominent aujourd’hui le marché mondial. Si les risques concernaient alors principalement les virus et les pertes de données (source 1), c’est aujourd’hui un champ de menaces bien plus vaste que les assureurs doivent couvrir ; allant de la responsabilité civile à la prise en compte des pertes d’exploitation.

Les 8 principales assurances cyber du marché américain :

  • AXA XL
  • Chubb
  • AIG
  • Travelers
  • AXIS
  • Beazley
  • CNA
  • BCS

Si une part importante des entreprises américaines a souscrit une assurance cyber, sur un total de plus de 200 compagnies 8 d’entre elles couvrent 60 % du marché (source 3). En dépit de cette concentration, la multiplication des offres d’assurance cyber et leur dynamisme permettent de faire constamment évoluer le modèle

Des offres d’assurance cyber innovantes qui impulsent un nouveau modèle

Le marché a ainsi pu tirer les leçons du modèle longtemps dominant de la seule couverture post-sinistre, et de son coût élevé. L’impulsion est venue de nouveaux acteurs de la cyber-assurance, tels que Cowbell Cyber, Corvus, Coalitions et At-Bay, qui ont développé des modèles de couverture incluant un volet préventif d’outils de monitoring du risque et de partenaires cyber, au moment opportun, peu avant la pandémie et l’envolée des attaques.

Leur ratio de sinistre sur prime (c’est-à-dire le rapport entre le montant des sinistres et celui des cotisations perçues sur un même contrat d’assurance) s’est ainsi sensiblement amélioré au cours de la crise, passant de 72 % 65 % (source 4).

Un volet préventif en passe de se généraliser chez les assureurs 

Signe de la réussite de ce modèle, At-Bay et Coalitions font état d’une croissance de 800 %, et ont respectivement levé plus de 200 millions (source 7) et 500 millions en 2021 (source 6) plus 250 millions de dollars en 2022 (source 12). Autre indicateur majeur, cet essor a initié un changement progressif de modèle de l’ensemble des assureurs cyber, y compris des principaux acteurs du marché. Depuis 2022, Chubb, AIG et Axis proposent désormais des outils de monitoring du risque dans leurs packs vendus aux entreprises (source 5).

Le marché de l’assurance cyber en France et en Europe

assurance cyber France et Europe

Un marché en retard sur l’assurance cyber

En France, où le marché des assurances cyber s’est développé tardivement, les assurances cyber restent en majorité proposées par des acteurs généralistes de l’assurance, dépourvus d’expertise dans ce domaine. Plus encore, les tarifs des assurances cyber restent prohibitifs pour les petites entreprises, dont la majorité n’est pas du tout assurée. Cette situation dommageable pour l’économie, qui laisse les entreprises vulnérables, préoccupe les pouvoirs publics. Fin 2021, la Délégation sénatoriale aux entreprises a fait état de son inquiétude pour l’écosystème français et européen, et déploré le retard du marché de l’assurance contre les cyber-risques (source 9).

Chiffre clé
Moins de 10 % des ETI françaises sont couvertes par une assurance cyber, contre près de 90 % des grandes entreprises (source 2).

Entreprises non assurées mais croissance du marché : le paradoxe français

Comment comprendre le manque de couverture persistante des entreprises ? Par la hausse significative des sinistres que la pandémie a générée, et qui alimente un cercle vicieux : les assureurs font face à une dégradation de leur ratio de sinistre sur prime, et réagissent en augmentant le coût des assurances et en restreignant les critères d’éligibilité. Conséquence : les assurances perdent de l’argent et les entreprises rencontrent plus de difficultés pour s’assurer (source 10).

Pour transformer ce cercle vicieux en cercle vertueux, la solution est à chercher du côté du modèle que le marché américain : l’intégration aux assurances d’un volet préventif, incluant des outils et des partenaires cyber, pour une meilleure maîtrise du risque et donc une diminution des sinistres.

Les assurances qui proposent une couverture cyber en France :

  • Axa
  • Hiscox
  • Allianz
  • Generali
  • Groupama
  • Aviva
  • MMA
  • Pacifica
  • Dattak (ex-Cyberline)
  • Cogitanda
  • HDI
  • QBE
  • Coover
  • April
  • Gan
  • Matmut
  • AIG
  • Chubb
  • Beazley
  • Autres banques qui proposent de l'assurance cyber (LCL, Société générale, etc.)

Des acteurs innovants reproduisent le modèle de prévention

L’ANSSI le recommande d’ores et déjà : la prévention est le 1er des 4 piliers d’une bonne assurance cyber (source 8). Pourtant, aucun assureur historique n’inclut à ce stade d’outils de monitoring dans leur couverture cyber. Stoïk est le premier acteur sur le marché français à proposer un modèle alliant protection et assurance. Mais il n’est plus le seul en Europe : le modèle américain fait des émules chez de nouveaux acteurs de l’assurance, qui misent notamment sur la technologie pour affiner leurs conditions de sélectivité en dégageant une vision nette de la surface d’attaque potentielle de leurs clients en se basant sur leurs données.

Un besoin de maîtrise du risque commun à l’Europe

Les autres marchés européens de l’assurance cyber font état du même retard dans leur maîtrise du risque par rapport au marché américain, mais d’autres nouveaux venus de l’assurance cyber commencent à s’y développer, comme l’Allemand Baobab, ou encore l’Italien Cyberangels. Pour eux, tout l’enjeu reste à trouver des porteurs de risque (assureurs et réassureurs). Mais il est certain que, pour faire grandir le marché et permettre à un nombre croissant d’entreprises d’être couvertes, le modèle fondé sur des outils et des partenaires cyber pour diminuer le risque d’intrusion est le seul viable à long terme pour les assureurs cyber.

Conclusion

Le rapport 2021 de l’AMRAE (l’Association pour le Management des Risques et des Assurances de l’Entreprise), conclut que la sous couverture des entreprises françaises fait courir un risque au tissu économique tout entier, par l’effet de l’écosystème (sous-traitants, fournisseurs, clients, partenaires commerciaux…)(source 2).  Pour rattraper leur retard, les marchés de l’assurance cyber français et européens doivent donc mettre en place des outils d’accompagnement cyber pour aider les entreprises dans la maîtrise et la réduction de leurs risques.

Sources :

  1. https://colony-west.com/a-history-of-cyber-liability-insurance/
  2. Étude LUCY : LUmière sur la CYberassurance – AMRAE – Mai 2021
  3. https://www.esecurityplanet.com/products/cyber-insurance-companies/
  4. https://www.fitchratings.com/research/insurance/us-cyber-insurance-sees-rapid-premium-growth-declining-loss-ratios-13-04-2022
  5. https://www.insurancebusinessmag.com/us/news/cyber/top-10-cyber-insurance-providers-in-the-us-in-2022-326912.aspx
  6. https://techcrunch.com/2021/09/28/cyber-insurance-firm-coalition-lands-205m-at-series-e-valued-at-3-5b/
  7. https://www.timesofisrael.com/cybersecurity-insurance-firm-at-bay-raises-185-million-becomes-latest-unicorn/
  8. https://www.ssi.gouv.fr/uploads/2019/11/anssi_amrae-guide-maitrise_risque_numerique-atout_confiance.pdf
  9. https://www.senat.fr/presse/cp20211125d.html
  10. https://www.usine-digitale.fr/article/il-est-urgent-de-trouver-une-solution-aux-problemes-d-assurance-cyber.N1779877
  11. https://www.xerfi.com/blog/Cyber-assurance-un-marche-en-progression-de-20-par-an-d-ici-2023_1169
  12. https://www.eficiens.com/coalition-levee-cyber/