Assurance cyber : Regards sur un marché en quête de maturité
Le rapport Lucy publié par l’AMRAE, révèle que la sinistralité des assurés est en baisse, tout comme les ratios sinistre/prime. Dans ce contexte, nous observons une tendance baissière des taux de primes tandis que les capacités sont en hausse et nous questionne sur une potentielle transition d’un “hard market” vers un “soft market”.
Si le marché de l’assurance est souvent perçu comme cyclique, il en va de même en ce qui concerne l’assurance cyber. Cet article est l’occasion de présenter une grille de lecture de certains facteurs d’influence de ces cycles et ainsi quelques leviers pour (enfin) déverrouiller l’assurance cyber
La menace cyber : le point de départ du risque
De la même manière que les conditions climatiques influencent la sinistralité, il en va de même pour la menace cyber. Plus la menace de cyberattaques est intense, plus grand est le risque pour les entreprises de faire face à un sinistre d’ampleur.
Dans le contexte des Jeux Olympiques, constate-t-on une hausse de cette pression de la menace ? La réponse est oui, si l’on se réfère aux travaux d’analyse prospective réalisés par notre équipe de Cyber Threat Intelligence dans la perspective des Jeux Olympiques de Paris 2024.
Le niveau de défense des organisations
La fréquence de ciblage et le niveau de sophistication des attaques n’expliquent pas à eux seuls la sinistralité. Il faut alors prendre en compte le niveau de défense des entreprises. Celles-ci sont-elles suffisamment protégées pour faire face aux attaques ? Leur maturité défensive détermine alors le niveau de vulnérabilité de chacune d’entre elles.
Citalid a breveté une technologie de « pentest théorique » pour effectuer cette évaluation de la vulnérabilité, c’est-à-dire de la probabilité à laquelle les attaquants sont susceptibles de d’atteindre leurs objectifs. Notre moteur de simulation est capable de confronter à l’échelle l’ensemble des menaces susceptibles de cibler une organisation à sa maturité défensive et aux solutions de sécurité en place, pour en déduire la propagation potentielle de chaque mode opératoire d’attaque dans le SI. Ce travail est le fruit de notre expertise en cyber sécurité et d’une connaissance fine du paysage de le menace des entreprises.
La sélection du risque par les assureurs cyber
Lors de la phase de souscription, l’évaluation du niveau de risque est alors déterminée par les assureurs. A l’heure actuelle, chaque assureur est libre d’appliquer sa propre méthode d’évaluation du risque et juge lui-même de la qualité du risque de l’ensemble de son portefeuille. Dès lors, les assureurs peuvent y intégrer une variété de critères de risque selon leur appétence, dont parfois des profils plus exposés que d’autres à la sinistralité. Que ce choix soit conscient ou non, ce profil de risque a une influence sur la sinistralité potentielle du portefeuille de l’assureur.
Citalid a réalisé une enquête auprès des RSSI membres du CESIN qui apporte notamment un éclairage sur les processus de souscription. Les données recueillies indiquent que ce processus est perfectible en raison d’une certaine forme de désalignement entre le risque perçu par l’assuré et l’assureur.
Télécharger le baromètre
La variation de la prime d’assurance cyber
La croissance du portefeuille d’un assureur passe à la fois par l’acquisition de nouveaux assurés mais aussi par l’accroissement du taux de prime ou une hausse de la capacité. Ces valeurs varient pour des raisons de solidité du portefeuille ou pour des raisons commerciales. Elles dépendent également de l’appétence au risque de l’assureur. Les variations de primes à la hausse de ces dernières années ont laissé place à une tendance baissière comme le montre le rapport Lucy de l’AMRAE, tandis que les capacités semblent repartir à la hausse.
Concrètement, les assureurs prennent plus de risques, mais ceux-ci coûtent moins cher que les années précédentes pour les assurés. De plus, le rapport révèle une plus forte négociation des assurés en ce qui concerne le coût et les conditions contractuelles de leurs cyber assurance.
La typologie du portefeuille des assureurs cyber et les risques de concentration
Si la maturité défensive de chaque assuré a un impact sur cette typologie de risque, elle n’est pas le seul facteur. Le contexte de chaque entreprise est clé. Ici, nous faisons référence à la taille de l’entreprise, son implantation géographique, son secteur d’activité. Nous parlons alors du profil victimologique des entreprises qui varie en fonction du profil criminologique des attaquants. Par exemple, une entreprise de restauration dans la Creuse n’aura pas le même profil victimologique – et donc de paysage de la menace – qu’un constructeur automobile Suédois. Dès lors, il existe un risque de concentration du risque cyber par typologie d’assuré chez les assureurs. Ce risque de concentration est d’autant plus visible lorsqu’il s’agit de la taille des entreprises puisque le taux de pénétration du marché reste encore faible notamment pour ETI, PME, TPE, etc.
L’assurance cyber aujourd’hui
Alors concrètement, quelle est la situation actuelle ? A quoi devons-nous nous attendre pour les renouvellements de 2024 ? Voici plusieurs éléments de réponse :
- La sinistralité globale des entreprises est susceptible d’être en hausse du fait des grands évènements sportifs à venir.
- Les assureurs ont pris plus de risques ces dernières années avec des capacités en hausse et des prix en baisse.
- Le marché de la cyber assurance a encore une faible pénétration de marché. Les entreprises assurées sont-elles représentatives du tissu économique global ? Sont-elles susceptibles d’être victime d’une cyberattaque ? Le portefeuille des assureurs est-il mécaniquement plus exposé ?
- Après plusieurs années de hausse du coût de l’assurance cyber, les assurés challengent plus fortement leur police d’assurance.
Nous sommes donc potentiellement face à la rencontre deux tendances : une hausse de la sinistralité alors que les assureurs prennent plus de risques. Le ratio sinistre/prime va-t-il repartir à la hausse en 2024 ? Si c’est le cas, alors il faudra s’attendre à une nouvelle contraction du marché de la cyber assurance.
