Assurance contre les menaces informatiques : un marché à 2,5 Md$

Pour PwC, le marché des assurances contre les menaces informatiques constitue « une opportunité pour les assureurs et les réassureurs » décrite comme « potentiellement énorme ». Et d’estimer que les entreprises paient aujourd’hui 2,5 Md$ par an de primes pour ces assurances, et qu’elles verseront 7,5 Md$ en 2020.

Récemment, Allianz se montrait encore plus enthousiaste, envisageant une multiplication par plus de dix de la valeur du marché de l’assurance contre les risques informatiques au cours de la prochaine décennie.

Dans une étude, PwC explique que « les entreprises de tous les secteurs commencent à reconnaître l’importance de la cyberassurance dans l’environnement numérique actuel » qu’il décrit marqué par une complexité croissante et des niveaux de risque de plus en plus élevés. Selon le cabinet, 71 % des Pdg des assureurs, 79 % des Pdg de banques, et 61 % de dirigeants « voient les attaques cyber comme une menace pour la croissance, devant les évolutions des comportements des consommateurs, la vitesse du changement technologique, ou encore les interruptions de la chaîne logistique ».

En 2014, un incident de sécurité informatique aurait couté en moyenne 5,9 M$ à une grande entreprise, contre 1,3 M$ à une entreprise réalisant entre 100 M$ et 1 Md$ de chiffre d’affaires, et 410 000 $ à une petite entreprise avec moins de 100 M$ de chiffre d’affaires annuel.

Selon PwC, en retour, « de nombreux assureur et réassureurs cherchent à tirer profit de ce qu’ils perçoivent comme une rare opportunité de sécuriser des marges élevées ».  Mais pour cela, encore faut-il construire des offres qui suscitent la confiance des entreprises. Et ce n’est pas forcément encore le cas.

Dans un communiqué, Paul Delbridge, spécialiste de l’assurance chez PwC, explique que « compte tenu des coûts élevés de couverture, des limites imposées, des termes et conditions stricts et des restrictions aux demandes d’indemnisation, de nombreux assurés se demandent si leurs polices d’assurance offrent une réelle valeur ».

A la décharge des assureurs, le cabinet souligne que le risque cyber est différent des autres risques que les compagnies d’assurances ont pu être amenées à couvrir : « il n’y a que peu de données publiquement disponibles sur l’échelle et l’impact financier des attaques ». Et il n’est donc que plus difficile de construire des offres appropriées.

PwC établit au final plusieurs recommandations à destination des assureurs. La première étant de mettre en place une robuste sécurité informatique interne, afin de garantir leur « crédibilité ». Vient ensuite le développement de modèles solides pour l’exposition au risque et les pertes potentielles.

Le cabinet recommandation alors aux assureurs de travailler étroitement avec les entreprises technologiques et les agences de renseignement pour améliorer l’évaluation du risque, ou encore de condition les couvertures à des évaluations complètes de la posture de sécurité des entreprises.

Enfin, PwC suggère d’en finir avec les renouvellements de contrat annuels au profit d’analyses de risque en temps réel et d’ajustements réguliers des polices.