igor - Fotolia
Le marché de la cyberassurance reste émergent
Deloitte fait le point sur les multiples obstacles qui freinent le décollage d’un marché pourtant prometteur. Et cela tant du côté des assureurs que de leurs clients potentiels.
Deloitte s’étonne : les assurances contre le risque cyber ne semblent générer qu’entre 1,5 Md$ et 3 Md$ de primes actuellement, aux Etats-Unis. Un chiffre ridicule comparé aux plus de 505 Md$ de primes collectées par les assureurs outre-Atlantique en 2015. Alors si Allianz entrevoit un marché mondial de plus de 20 Md$ à l’horizon 2025, le chemin apparaît long, et la croissance particulièrement lente.
Au printemps dernier, une étude Vanson Bourne pour NTT Com Security baptisée Risk:Value 2016 avait été accueillie avec un certain scepticisme : le fournisseur de services de sécurité informatique y affirmait notamment que 40 % des entreprises en France étaient « intégralement couvertes contre les violations de sécurité et la perte de données ».
Comme d’autres, Astrid-Marie Pirson, experte cybersécurité chez Hiscox, n’a alors d’ailleurs pas caché sa perplexité. Plusieurs éléments l’invitaient à « relativiser » les résultats, à commencer par un échantillon « loin de représenter la réalité du tissu entrepreneurial en France ». Les chiffres du conseil des agents et courtiers en assurances américain (CIAB) sont d’ailleurs loin d’ajouter la crédibilité de ceux avancés l’an passé par NTT Com Security : en octobre 2016, seulement 29 % des entreprises américaines avaient souscrit une cyberassurance, selon le CIAB. Difficile d’imaginer que, dans leur ensemble, les entreprises françaises étaient aussi considérablement en avance sur leurs homologues outre-Atlantique.
Mais alors que les incidents de sécurité majeurs reçoivent une exposition médiatique toujours plus importante, comment expliquer que le marché de l’assurance contre le risque cyber ne décolle pas plus vite, s’interroge Deloitte.
De nombreux freins du côté de la demande…
En septembre dernier, Sasha Romanosky, de la RAND Corporation, lançait un pavé dans la mare de l’industrie de la cybersécurité : pour lui, les coûts induits par les incidents de sécurité apparaissent « relativement modestes » rapportés à d’autres pertes, comme celles générées par la fraude, la corruption ou encore les dettes toxiques, entre autres.
Comme le relevait Astrid-Marie Pirson, Deloitte souligne surtout le manque de compréhension, côté entreprises, de la cyberassurance. A l’automne dernier, le CIAB relevait ainsi que 55 % des courtiers déploraient un manque de clarté dans ce que couvrent les polices. Mais la valeur réelle des offres, rapportée à la couverture proposée pour le coût des primes, continue de susciter le doute.
Mais le cabinet relève aussi que le risque cyber est en fait transverse à un vaste éventail de domaines de couverture assurantielle : responsabilité civile, responsabilité professionnelle, continuité de l’activité, etc. « Ce qui complique les efforts d’évaluation des besoins de couverture », notamment, ainsi que la comparaison des alternatives.
En outre, pour lui, les polices d’assurance cyber manquent de standardisation et le marché reste là très « fluide ». Selon une étude conduite pas l’institut SANS et Advisen, seulement 19 % des courtiers et 30 % des agents jugent qu’il existe « un langage commun pour le risque cyber ».
Et du côté de l’offre
Mais Deloitte appréhende aussi la question sous un autre angle, celui des assureurs : « pourquoi sont-ils généralement restés réticents à couvrir le risque cyber à grande échelle ? »
Et cela commence par le manque de données historiques « qui rend difficile de construire des modèles prédictifs qui aident à estimer la probabilité d’une perte ». Et ce manque apparaît dû à plusieurs facteurs : « les assureurs n’ont pas vendu de cyberassurance depuis suffisamment longtemps ou à une échelle suffisante », mais il n’y a pas non plus de « source d’information complète, centralisée sur les événements cyber dans laquelle les assureurs pourraient piocher ». En France, la plateforme Acyma, annoncée en début d’année, devrait aider à répondre à cette situation. Mais Deloitte ajoute « qu’un important pourcentage de pertes cyber n’est même pas reconnu à l’extérieur » : pour l’institut américain de l’information sur l’assurance, « beaucoup, sinon la plupart des attaques ne sont pas rapportées ou pas détectées ».
Mais au final, ce manque de données apparaît inscrire la cyberassurance dans un cercle vicieux : les assureurs peuvent être tentés de jouer la prudence, en offrant des couvertures relativement limitées, ce qui encourage les prospects à s’interroger sur la valeur réelle des assurances. De quoi limiter la croissance du marché et, en retour, décourager les assureurs de proposer des produits plus attractifs…
Mais il faut aussi compter avec l’évolution constante de la menace, faisant émerger régulièrement de nouveaux risques, ou encore la crainte, de la part des assureurs, de prendre en définitive à leur charge une part de risque trop importante.