Suite à la rétrospective, nous tentons d’apporter une explication sur le retard enregistré sur le décollage de l’assurance cyber en Europe et en particulier en France. Aussi insistons-nous sur le thème de la compréhension du risque cyber comme une problématique centrale pour « booster » ce marcher. Nous revenons sur l’intérêt de souscrire des contrats en « stand alone » en incitant les assureurs à offrir des garanties annexes ayant une portée sur la prévention, le conseil et l’assistance.

 

Le paradoxe du grand besoin versus faible taux de transformation

En à peine cinq ans, le risque cyber s’est hissé aux premières places dans la liste des risques mondiaux appréhendés par les entreprises. Il est désormais admis que les cyber-attaques à grande échelle seront parmi les risques les plus probables au cours des dix prochaines années. Ainsi, les assureurs s’attendent à une augmentation progressive de la demande de cyber assurance, principalement liée à la nouvelle réglementation, à la sensibilisation accrue aux risques et à la fréquence accrue des événements cyber. Les transformations numériques devraient, en toute logique, stimuler cette demande.

Néanmoins, la réalité des chiffres pointe des faibles taux de conversion de toutes les sollicitations exprimées ou implicites. Ce faible taux révèle une inadéquation entre l’offre et la demande. Cette inadéquation est due à une compréhension insuffisante des produits de cyber-assurance et à leur pertinence pour répondre aux besoins des clients.

Nous allons illustrer par quelques explications la difficulté de souscrire ou faire souscrire une police cyber.

D’une part le marché présente des déficiences, avec entre autres :

  • Les fourchettes de prix proposées pour la couverture des risques cyber sont très larges. Ce qui démontre l’immaturité du marché et provoque la méfiance des chefs d’entreprise. L’état ne pourrait-il pas jouer un rôle stabilisateur lors du décollage du marché ?
  • Les produits proposés sont, le plus souvent, difficilement intelligibles. Les décideurs des entreprises estiment que l’offre a actuellement du retard par rapport à leurs besoins et que les « experts » des assureurs, quand il y en a, ne sont pas convaincants.
  • Les entreprises ont du mal à définir et exprimer leurs besoins, en particulier les PME. De nombreux clients ont du mal à apprécier leurs risques. De plus, bon nombre de chefs d’entreprises pensent qu’ils ont vécu depuis longtemps sans incidents et en resteraient à l’abri.

D’autre part, les PMI et PME déplacent leurs centres d’intérêts de la RC classique vers des polices couvrant le risque d’interruption des activités ainsi que l’atteinte à la réputation.

 

Les défis inhérents à la compréhension du risque cyber

Il est clairement nécessaire d’approfondir la compréhension du cyber-risque, tant du côté de l’offre que du côté de la demande, afin que le secteur européen de la cyber-assurance puisse continuer à se développer.

En effet, pour mieux développer l’offre et la demande en termes de produits cyber en Europe, la compréhension du risque cyber est un prérequis. Or, fort est de constater que la majorité des publications et des enquêtes demeurent d’origines américaines motivées par une avancée factuelle par rapport à la situation en Europe.

C’est pourquoi, dans une série de nos articles, nous nous sommes basés, en grande partie, sur les observations du marché américain en projetant les conclusions sur le marché européen afin de pointer quelques défis comme :

  • Les difficultés à quantifier les risques cyber et le traitement inadéquat des risques connexes.
  • La quasi généralisation des modèles qualitatifs au détriment des modèles quantitatifs pour tarifer les garanties. Les mêmes procédés qualitatifs sont déployés pour apprécier les expositions et les accumulations de risques. Le manque de données demeure un obstacle important au développement des modèles quantitatifs.
  • Le manque de compétences spécialisées, de données et d’outils quantitatifs pour « booster » le développement de ce secteur et à la conception de couvertures adéquates au tissu économique.

 

Produits et services

La cyber assurance peut être offerte en tant que produit à part « stand alone », en tant que couverture complémentaire optionnelle aux branches traditionnelles comme la RC ou en standard dans les produits RC. Nous privilégions la première option pour créer une branche lisible et pilotable. A l’opposé la troisième option est faiblement différenciante et accentue l’ambigüité apportée par les couvertures silencieuses et implicites. Nous devrions revenir dans un prochain article sur les couvertures implicites ou silencieuses au sein des branches classiques et qui pourraient se déclencher lors d’un événement cybernétique.

Quand il s’agit d’une violation de données, la précision de la quantification de son impact suscite des inquiétudes. En effet, les conséquences d’un tel événement pourraient entraîner des pertes financières immédiates et avoir des conséquences sur les revenus futurs. Un autre défi pour les assureurs consiste à déterminer si la perte est permanente ou temporaire et à estimer l’impact précis sur l’image de marque.

Pour mieux servir les clients, les assureurs devraient offrir des services annexes tels que du conseil, de l’assistance juridique et des services de gestion de crise. Les assureurs ont la possibilité de faire porter ces services annexes par des partenaires externes pour leurs clients.

D’autre part, Il faudrait proposer en complément des programmes de prévention, des tests de pénétration et des outils de chiffrage des données.

 

Rôle de la réassurance

Vu l’immaturité du marché, les assureurs ont recours à des programmes de réassurance pour chercher des capacités de mutualisation plus large et pour renforcer leurs expertises. Or, d’après notre expérience, les réassureurs ont une approche très prudente de leur couverture. Ils exigent, à juste titre, une transparence parfaite sur les éléments d’appréciation du risque et n’hésitent pas à demander des précisions complémentaires sur chaque programme.

Les assureurs sont fortement incités à partager leurs analyses de chaque risque avec leurs réassureurs et être agile pour apporter les éclairages supplémentaires éventuels exigés par ces derniers.

 

En conclusion, le marché présente de nombreux freins mais le temps et l’implications de tous les acteurs peut permettre de surpasser ces difficultés et nous rejoignons parfaitement ceux qui pensent que « Si nous évitons les défis du cyber nous risquons d’avoir un secteur de l’assurance non pertinent, car le risque cyber est là, restera et se développera ». Finalement il faudrait sortir du paradigme « assureur payeur » car les clients exigent des solutions plus larges incluant la prévention et l’assistance pendant et après une crise.

Catégories : Article