Le marché mondial de la cyberassurance

Selon l’agence de notation Moody’s, la cyberassurance est un segment relativement récent de l’assurance dommages. Les conditions générales des polices cyber n'ont pas encore fait l’objet d’une standardisation par les différents acteurs du marché.

Pour l’heure, cette sous-catégorie de l’assurance dommages se caractérise par l’absence de données statistiques, le caractère systémique du risque et le danger d'accumulation des sinistres.

Ces particularités compliquent le travail des assureurs qui ont du mal à chiffrer leur engagement et tarifier le produit. De plus, l’aspect systémique du risque entraîne un problème de capacité d’assurance et de réassurance.

Cyberassurance, un marché en déséquilibre

L’assurance des risques cyber est loin d’être rentable pour les professionnels. Le marché fait face à un manque de capacité, entraîné par le déséquilibre entre primes encaissées et indemnités versées.

Les réajustements opérés au fil des derniers renouvellements : augmentation des tarifs, plafonnement de la garantie et durcissement des conditions de souscription, aboutissent en fait à une limitation de capacité, qui gêne des entreprises en mal de solutions adaptées à leurs besoins.

Exclusion et réduction des couvertures

Alors que le risque cyber est au cœur de toutes les craintes des acteurs économiques, certains assureurs n’hésitent pas à se désengager de cette branche. D’autres acteurs continuent de souscrire ces risques mais délimitent de façon plus précise leur couverture ou les réduisent purement et simplement. C’est dans cet esprit, qu’Axa, Generali, AIG et Le Lloyds ont adopté des stratégies plus ou moins similaires pour la cyberassurance :

• A partir du 1^er janvier 2023, AXA exclura les garanties cyber de ses contrats responsabilité civile. Pour le groupe français, la complexité du risque n’autorise plus son intégration dans des polices classiques. Il doit faire l’objet d’une couverture particulière avec des clauses, limites et tarification spécifiques.
• Depuis fin 2021, Generali a mis en place une politique de souscription des risques cyber plus restrictive. Pour exemple, l’assureur italien ne couvre plus les rançons payées par les entreprises victimes de cyberattaques.
• Le géant américain AIG a, de son côté, résilié 30% de ses contrats cyber et exclu le risque de ses garanties responsabilité civile.
• Le Lloyd's de Londres durcit, pour sa part, les règles d’exclusion dans le but de se prémunir contre un éventuel risque systémique. Les attaques soutenues par des Etats seront éliminées de son champ de couverture à compter du 1er mars 2023.
• Face à la pénurie de capacité, diverses solutions ont été développées pour couvrir les cyber-risques. La création d’entités dédiées uniquement à leur prise en charge fait partie de ces initiatives.
• D’importantes entreprises européennes : Airbus, Michelin, Veolia, Adeo, Sonepar, BASF et Solvay ont ainsi opté pour le lancement d’une société commune d’assurance des risques cybernétiques. Dénommée Miris Assurance, la nouvelle entité, basée en Belgique, devrait obtenir l’agrément du régulateur des assurances d'ici 2023.
• Selon Moody’s, la réduction de la capacité cyber et les dernières mesures d’ajustements introduites par les compagnies d’assurance devraient permettre une amélioration du ratio sinistres à primes de la branche. Ce dernier devrait passer de 88% en 2021 à 65% en 2022.

Marché de la cyberassurance en 2022

Pour les huit premiers mois de 2022, les primes mondiales de la cyberassurance s’élèvent à 9,2 milliards USD ⁽¹⁾. Elles devraient atteindre 12,83 milliards USD à fin 2022 contre 10,33 milliards USD en 2021. Le marché projette d’atteindre 22 milliards USD de chiffre d’affaires d’ici 2025 et 63,6 milliards USD en 2029.

La progression des primes est portée par la hausse des tarifs et l’amélioration du niveau de couverture des petites et moyennes entreprises (PME).

⁽¹⁾ Cyber Risk and Insurance Survey 2022, Munich Re

A eux seuls, les Etats-Unis comptabilisent plus de la moitié des primes cyber (assurance et extension de garantie) de 2021, soit 4,83 milliards USD. Ce montant est en augmentation de 74% par rapport aux 2,77 milliards USD réalisées en 2020.

A 3,15 milliards USD en 2021, les primes des seules assurances cyber ont augmenté de 92,3%. Ces mêmes primes s’élevaient à 1,64 milliard USD une année auparavant.

Les primes concernant les extensions de garantie progressent, de leur côté, de 47,6% pour atteindre 1,67 milliard USD, contre 1,13 milliard USD en 2020.

Cyberassurance : principaux acteurs du marché

A fin 2022, plus de 220 assureurs souscrivent au niveau mondial des risques cyber ⁽¹⁾ contre 180 en 2021. Le marché de la cyberassurance enregistre 13,5 milliards USD ⁽²⁾ de primes en 2022 contre 8,6 milliards USD une année auparavant, soit une hausse de 56,67%.

Les leaders de ce marché qui ont pour nom Munich Re, Chubb, Beazley, Fairfax Financial Holdings et AXA enregistrent 4,362 milliards USD de primes cyber, soit une part de marché cumulée de 32,3%. Les 20 premiers assureurs comptent pour 70% des encaissements mondiaux contre 76,6% en 2021.

Le Lloyds de Londres ⁽³⁾, qui ne figure pas dans le classement ci-dessous, reste avec ses syndicats le principal marché spécialisé en cyberassurance. Ce dernier totalise 20% de l’ensemble des primes mondiales, soit 2,7 milliards USD en 2022 contre 1,72 milliard USD en 2021.

⁽¹⁾ Etude « Cyber Insurance Market », Insuramore
⁽²⁾ Hors primes cyber des assureurs captifs qui sont estimées à 500 millions USD
⁽³⁾ L’étude d’Insuramore exclut de ses statistiques le Lloyd’s de Londres dont les syndicats font partie des autres groupes d’assurance mentionnés dans le classement.

Estimation des primes cyber 2022 des cinq principaux groupes (primes brutes directes)

Source : Insuramore