Assurance cyber : quelles pistes pour adapter la réponse assurantielle ?

Le Club des Juristes a publié en janvier 2018 son rapport “Assurer le risque cyber”. Le marché, caractérisé par l’émergence de contrats cyber “purs”, reste encore limité en taille. Il est estimé entre 3 et 3,5 milliards de dollars de primes annuelles, dont 85% à 90% souscrites aux Etats-Unis. L’Europe ne représente que 5% à 9 % du marché mondial, soit pas plus de 255 millions d’euros de primes. En France, le volume de primes souscrites s’établissait à 40 millions d’euros en 2016. 

Cela étant, l’environnement économique et réglementaire est favorable à l’essor de l’assurance contre le risque cyber. L’élargissement du champ des obligations et de la responsabilité des entreprises (notification, incidence du RGPD, critères de bonne gouvernance) est de nature à soutenir de telles offres. Les auteurs estiment néanmoins que la réponse assurantielle doit être améliorée, notamment en termes de clarification de l’étendue et de l’articulation des couvertures (assurabilité ou non des sanctions administratives et des rançons), de segmentation et de quantification des risques ou de maîtrise du cumul des engagements. Comme le révèle le graphique ci-dessous, l’analyse de la tarification des contrats cyber montre des primes insuffisamment corrélées au risque.

Le rapport formule dix préconisations pour mieux assurer le risque cyber, dont la mutualisation des données résultant d’incidents cyber, la mise en place d’une veille réglementaire au niveau européen et international ou encore un fléchage de l’investissement privé et public “vers l’émergence d’une filière française et européenne d’excellence en cyber technologie”.