Cyberassurance : des produits plus accessibles grâce à la concurrence

Après plusieurs années d’augmentations importantes des primes recueillies par les assureurs spécialisés en cybersécurité, l’année 2024 a été marquée par un premier déclin du volume estimé à 170 millions de dollars américains (M$ US). Les cinq premiers assureurs dans le marché ont vu leur volume de primes baisser de 130 M$ US.

Lors d’un webinaire tenu à la fin de juillet, auquel le Journal de l’assurance a assisté, l’agence AM Best a réuni divers experts pour discuter de l’évolution du marché de la cyberassurance.

Christopher Graham, analyste principal chez AM Best, a résumé les grandes lignes du rapport publié par l’agence sur l’évolution des primes de cyberassurance aux États-Unis. 

« Il y a plus d’assureurs dans le marché, et l’augmentation de la capacité provoque cette baisse de la tarification », note M. Graham. De plus, certains assureurs ont augmenté leurs limites de rétention des risques, ce qui réduit le besoin de recourir à la réassurance. Enfin, une partie du marché de la cyberassurance a été récupérée par l’entremise de programmes offerts par des assureurs étrangers. 

Selon Oliver Brew, leader de la pratique en cyber chez Lockton Re, l’évolution des menaces en cybersécurité est perceptible en raison du recours grandissant par les criminels à l’intelligence artificielle (IA) générative. Les campagnes massives d’hameçonnage sont devenues nettement plus sophistiquées et efficaces. De plus, la capacité de créer de fausses images ou de trafiquer la voix pour usurper une identité représente une nouvelle menace associée à l’utilisation de l’IA. 

Les rançongiciels, ces logiciels malveillants qui paralysent les systèmes et permettent aux pirates de demander une rançon, sont toujours un fléau, note M. Brew. Au Royaume-Uni, l’organisation nationale qui surveille la cybersécurité a constaté, dans son plus récent rapport, que les attaques de ce genre atteindront un nombre record en 2025. 

Au cours du premier semestre de 2025, Oliver Brew dit avoir observé l’arrivée de six à huit nouveaux joueurs offrant des capacités en cyberassurance. Selon lui, plusieurs facteurs influencent le comportement des compagnies d’assurance à l’égard de ce risque. Premièrement, la peur de rater une occasion lorsqu’on constate qu’on est absent d’un marché prometteur.

Deuxièmement, la cyberassurance permet de diversifier le portefeuille d’un assureur et limiter l’impact de son exposition aux sinistres majeurs associés aux catastrophes naturelles. Et troisièmement, les perspectives de croissance de ce produit sont aussi un facteur incitatif. 

Comportement des assureurs 

De son côté, Bob Parisi, chef des solutions cyber de Munich Re, croit qu’il devient de plus en plus difficile pour les assureurs de déterminer le risque à couvrir en fonction de la taille de l’entreprise. « On disait qu’il y a trois marchés dans le cyber ; pour les petites, les moyennes et les grandes entreprises, mais les lignes de démarcation commencent à s’estomper », dit-il. 

Il souligne aussi que la rapidité d’exécution des pirates à exploiter les brèches de sécurité ne cesse de croître. « Le temps moyen nécessaire aux attaquants pour se déplacer latéralement à l’intérieur d’un réseau après y avoir accédé est tombé à 48 minutes. Le temps d’intervention ou d’évasion le plus rapide enregistré a été de 51 secondes », note M. Parisi.

L’augmentation des capacités comporte aussi ses revers. « Nous constatons également que certains assureurs abandonnent parfois la discipline de souscription si cela met en péril le maintien au renouvellement », ajoute-t-il.

Ces nouvelles capacités, renchérit Oliver Brew, sont aussi disponibles dans des marchés émergents où les besoins de cybersécurité sont grandissants, comme l’Asie-Pacifique, le Proche-Orient et l’Afrique du Nord. Plusieurs assureurs londoniens ont d’ailleurs ouvert des établissements à Dubaï, aux Émirats arabes unis, pour servir ces nouveaux clients. 

« L’un des grands avantages de l’assurance cybernétique est qu’elle permet de passer d’une simple police d’assurance papier à une proposition de valeur beaucoup plus complète et à un service de bout en bout basé sur la gestion des risques et les services avant sinistre ainsi que sur le recouvrement après sinistre », fait observer M. Brew. 

Les modèles de tarification sont constamment mis à jour, mais leur limite demeure la même, souligne M. Parisi : il y a encore eu assez peu de sinistres majeurs où un virus malveillant a provoqué des pannes systémiques touchant de grandes entreprises dans plusieurs régions en même temps. Tout en ne souhaitant à personne de subir et d’avoir à payer une grosse perte, l’expert de Munich Re rappelle que l’indemnisation est la finalité du produit d’assurance. 

Le plus grand défi du souscripteur en cyberrisque est de suivre l’évolution rapide des changements technologiques. « Lorsque Gutenberg a inventé la presse à papier et imprimé la première Bible, il a fallu plusieurs décennies, voire près d’un siècle avant que la technologie de l’imprimerie ne soit largement acceptée, largement diffusée et ne soit plus perçue comme quelque chose de maléfique. L’IA est en pleine mutation et en pleine évolution depuis que j’ai commencé à vous parler », indique Bob Parisi. 

Le très grand nombre d’assureurs dans le marché, chacun disposant de ses propres modèles actuariels, crée un marché très éparpillé, ajoute M. Parisi. D’ici deux ans, il estime qu’une certaine discipline s’installera grâce à une meilleure compréhension du cyberrisque. Ainsi, une bonne partie du libellé des polices sera commun d’un assureur à l’autre, et ce, peu importe la taille de l’entreprise qu’il faut assurer. 

Évolution du marché 

Du côté des refus de couverture, il n’y a rien de nouveau à l’horizon, selon Bob Parisi. Il y a deux ans, de nombreux assureurs ont expressément exclu les dommages causés par la guerre. « Personne n’a jamais pensé que la guerre elle-même était couverte, mais nous avons emprunté un vaste chemin en essayant de redéfinir ce que signifiait réellement la guerre à l’ère du cyberespace », précise-t-il. 

Sur le même sujet, Oliver Brew souligne que les débats sur le caractère silencieux du cyberrisque durent depuis plusieurs années. Le virus Notpetya a eu des répercussions plusieurs années plus tard sur la responsabilité civile liée à l’interruption des affaires. « Je pense qu’il y a eu une plus grande clarté concernant la délimitation de ce qui entre dans une police de cyberassurance et ce qui fait partie d’une police classique en assurance de dommages des biens », dit-il. 

Pourquoi la proportion de PME qui s’assurent contre le risque lié à la cybercriminalité ? Selon Oliver Brew, l’industrie dans son ensemble doit mieux expliquer la nature du produit et faire comprendre aux entrepreneurs que la police en responsabilité civile générale (CGL) ne couvrira pas leurs dommages découlant d’un cyberincident. 

Le produit doit être mieux emballé et offert à un prix abordable pour que les chefs de PME acceptent de le souscrire, poursuit-il. Enfin, il y a une partie de l’explication de la sous-assurance qui relève du manque de connaissances à l’égard du cyberrisque, selon Oliver Brew.

Même si le marché mou en cyberassurance tire à sa fin, Bob Parisi estime qu’une certaine stabilité pourrait s’installer. Les limites des couvertures, les capacités des assureurs et la tarification déterminent si le marché est serré ou détendu. Si les primes ne sont plus en baisse, les deux autres facteurs sont toujours présents. Il y a encore de nouvelles capacités et les couvertures sont maintenues, voire élargies.