Le 9 juin dernier, Standard & Poor's a publié un rapport sur le marché de l'assurance du risque cybernétique aux États-Unis, en pleine évolution. En 2014, le chiffre d'affaires estimé par Lloyd's s'est élevé à 2,5 Md$, contre moins d'1 Md$ en 2012.
directeur pour le secteur assurance chez Standard & Poor's Rating Services
Ce marché pourrait représenter jusqu'à 10 Md$ par an, ce que nous considérons comme un scénario réaliste compte tenu de la prise de conscience de la nécessité de se protéger. Le marché compte aujourd'hui plus de cinquante acteurs, mais reste dominé par cinq grands : AIG, Ace, Chubb Corp, Zurich et Beazley Group. Même si les assureurs ont fait des progrès dans leur mesure des risques et leur tarification, l'assurance des cyber-risques représente un défi unique pour eux. En effet, il n'est pas possible de prédire la fréquence ni la sévérité des sinistres, car des données actuarielles valables et des statistiques sur les risques d'attaques ne sont pas disponibles. Nous considérons donc que des modèles probabilistes posent encore une grande incertitude et nous regardons ces assureurs très dépendants de ces modèles avec une certaine prudence. De plus, la divulgation des informations reste encore limitée et insuffisante, car les entreprises hésitent à être transparentes pour ne pas s'exposer à des attaques potentielles.
Malgré ces défis, le marché affiche un grand potentiel. Nous pensons que la demande pour l'assurance des risques cybernétiques augmentera significativement dans les prochaines années. De plus, la perception du cyber-risque comme un risque majeur augmentera dans la même mesure que la fréquence des attaques. Enfin, une régulation renforcée suite aux cyber-attaques les plus récentes pourrait soutenir la demande de ce marché, du fait des lourdes pénalités et dommages causés aux entreprises concernées. Pourtant, les assureurs abordent ce marché avec beaucoup de prudence. L'offre reste limitée à des garanties modestes et inclut beaucoup d'exceptions. Les assureurs primaires lancent leur activité grâce au soutien des réassureurs. Cette prudence s'explique par la nature même du risque, caractérisé par une évolution très rapide, qui rend impossible la prédiction des risques émergents. De plus, le risque d'agrégation joue un rôle important avec l'usage du cloud computing et des plates-formes de stockage.
En conclusion, si les acteurs suivent cette approche prudente, nous ne considérons pas que la croissance des contrats d'assurance des risques cybernétiques puisse avoir un impact dans les prochaines années sur les notes des assureurs que nous suivons.
Directeur pour le secteur assurance chez Standard & Poor's
