L’année 2019 a été marquée par l’augmentation du nombre de sinistres assurés en cyber. « Et ceux-ci sont importants au regard de l’assiette de primes », note Lari Lehtonen, responsable de l’équipe cyber-risques chez Marsh. Une dizaine de sinistres d’intensité, soit des sinistres dont le potentiel est supérieur à un million d’euros, ont été observés sur l’année. Après un premier tournant pris en 2017, avec des attaques mondiales – Wannacry et Petya/NotPetya – qui ont dessiné les contours d’un risque systémique, frappant au cœur de la continuité opérationnelle des entreprises, on a vu se profiler un double mouvement en 2019. D’abord un mouvement de saturation avec des entreprises qui ont concrètement pris conscience des risques encourus. « Jusqu’en 2017, quand on pensait à l’assurance cyber, on se focalisait principalement sur l’atteinte aux données et frais de notification car le marché était parti des états-Unis où les frais de notification coûtent extrêmement cher, observe Amanda Maréchal, responsable cyber pour l’assureur QBE qui intervient en co-assurance sur les grands comptes. Mais dans la pratique, nous avons observé que les sinistres d’intensité sont plutôt liés à des garanties pertes d’exploitation consécutives à une attaque cyber. » Un seul sinistre peut alors impacter deux ou trois lignes. « Donc, on ne dit pas que la partie atteinte aux données est négligeable, il y a une grosse attente sur cette question avec des sanctions potentielles importantes via la Cnil, mais nous devons appréhender le risque en pensant à la question de la continuité d’activité », précise-t-elle.