Afficher le sommaire Masquer le sommaire
De 3 à 15 milliards de dollars entre 2017 et 2025 : le marché mondial de l’assurance cyber a fortement progressé. Malgré un récent ralentissement, les perspectives demeurent robustes, portées par la hausse régulière de la sinistralité.
Le verrou culturel européen
Pour des raisons économiques et de souveraineté, l’Union européenne veut peser dans la structuration de l’assurance cyber. « Mais, pour protéger des champions européens, encore faut-il en avoir », rappelle Thierry Derez, président du CA de Covéa (le groupe assurantiel français regroupant la MAAF, MMA et GMF).
Interrogé fin mars au Forum InCyber, il identifie deux obstacles pour l’Europe. « Le principal est culturel : notre rapport au risque diffère de celui des puissances dominantes », estime-t-il. À l’inverse, les États-Unis affichent une meilleure « acceptation des termes contractuels ».
L’assurance paramétrique est une illustration frappante de cet écart. Ces contrats, courants aux États-Unis mais rares en Europe, déclenchent une indemnisation dès qu’un seuil objectif est dépassé (niveau de l’eau, vitesse du vent, jours d’arrêt…).
Par exemple, « lors de l’ouragan Ian, le gouvernement jamaïcain n’a pas été indemnisé car les vents ont atteint 128 miles, contre un seuil contractuel fixé à 130. Cette situation a été considérée comme normale aux États-Unis, mais aurait été inacceptable pour l’opinion publique européenne », indique Thierry Derez. « Cette divergence illustre une culture du risque plus rigide en Europe », conclut-il.
Or, le cyber se prête particulièrement bien à une approche paramétrique. Elle repose sur des seuils clairs déclenchant l’indemnisation, ce qui répond à l’une des principales difficultés de l’assurance cyber : l’évaluation du sinistre. Trop souvent, le flou des contrats en Europe a généré des contestations, préjudiciables tant aux organisations touchées qu’aux assureurs.
Les assureurs freinés dans le financement des start-up
Cette culture du risque pèse aussi sur les mécanismes d’investissement. « Les assureurs pourraient devenir des financeurs majeurs de la filière cyber sur le long terme », estime Thierry Derez. Mais les contraintes réglementaires les en empêchent. Dans l’Union européenne, la gestion de l’épargne intermédiée est soumise aux normes prudentielles de la directive « Solvabilité II », jugées « extrêmement frileuses » par le président de Covéa.
Pour souscrire à des obligations d’État, la réglementation exige peu de fonds propres à l’assureur, malgré des précédents comme le défaut de la Grèce. La situation est radicalement différente en actions et en private equity. « Pour investir dans de jeunes pousses technologiques non cotées, un assureur doit immobiliser environ 43 euros de fonds propres pour 100 euros investis », détaille Thierry Derez.
Des licornes aux narvals
Cette « pression de solvabilité » réduit la capacité des assureurs à soutenir les start-up, notamment dans la cybersécurité. « Nous craignons de voir nos « licornes » [une start-up non cotée valorisée à plus d’un milliard de dollars, NDLR]se transformer en « narvals », ces pépites qui partent s’épanouir aux États-Unis », alerte le dirigeant de Covéa.
Thierry Derez plaide donc pour un assouplissement des standards de Solvabilité II, afin de permettre aux assureurs d’investir davantage dans les start-up européennes. Ils joueraient alors pleinement « leur rôle en amont du risque cyber et au soutien de la souveraineté technologique ». L’assurance s’imposerait alors comme un acteur clé de la résilience cyber, en prévention comme en réponse.
