• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Les assurances cyber, un business myope

Charles Cuvelliez et Emmanuel Michiels

Publié le 02 mars 2020 à 07:49 - Mis à jour le 12 décembre 2024 à 22:49

Cyber attaque

Cyber attaque

Reuters

Le Quotidien Numérique

16 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Uranium, lithium, terres rares : pourquoi la Chine renforce son partenariat stratégique avec la Namibie

  • 2

    Et donc, l'action SpaceX passe sous son prix d'introduction en Bourse

  • 3

    Pourquoi Airbus a choisi l’offre cloud de Scaleway pour héberger ses données critiques

  • 4

    Le plaidoyer du patron de Gecina pour les bureaux : « Plus les entreprises adoptent l’IA, plus elles surperforment, plus elles ont besoin de RH et donc de mètres carrés »

  • 5

    Marché carbone européen : dans une lettre à Matignon, EDF et Engie pressent la France de sortir de l’indécision

  • 6

    Pacte Dutreil, taxe sur la richesse, héritage : des recettes explosives pour le budget 2027 et la présidentielle

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
ANALYSE. La nouveauté du risque cybernétique est un problème pour les entreprises et une nouvelle activité pour les compagnies d'assurance, la cyberassurance. Mais la particularité d'un tel risque et l'absence de données historiques posent un certain nombre de questions. Par Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles, et Emmanuel Michiels, Chief Risk Officer, Belfius Assurances.

77 % des entreprises actives dans la finance, les soins de santé et le commerce de détail avec un revenu supérieur à 1 milliards de dollars prennent aujourd'hui, semble-t-il, une cyberassurance. Ce pourcentage tombe à 5 % pour les petites et moyennes entreprises. Cette évolution ne date pas de hier. En 2017 déjà, le nombre de polices d'assurance cyber a grimpé de 24 % pour arriver à un volume de 2,6 millions. C'est beaucoup même si cette croissance est, pour partie, due à une requalification de polices existantes ou à des avenants à des contrats qui prennent en compte le risque cyber séparément de la police globale. Le nombre de demandes d'indemnisation a grimpé de 51 % entre 2016 et 2017 mais seuls 24 % d'entre elles ont été acceptées pour un montant moyen de 188.525 euros. On a de plus en plus d'entreprises qui souscrivent à une assurance pour des montants de plus en plus élevés mais ce produit répond-t-il vraiment à leurs attentes, à savoir leur espoir d'avoir un risque majeur suffisamment couvert.

La cyberassurance répond à un réel besoin des acteurs économiques, et les assureurs y voient l'opportunité d'élargir leurs champs d'activité naturels de protection. Ils peuvent d'ailleurs y jouer un rôle systémique important dans la gestion du cyberrisque. Mais nous n'en sommes pas encore là. Le secteur de la cyberassurance est risqué, en tout cas atypique. Voilà en effet qu'on veut assurer des risques pour lesquels on manque de données historiques, de méthodologie et d'une absence de partage d'information et de retour d'expérience. Il y a trois grands soucis méthodologiques à proposer des cyber assurances comme un produit standard : l'asymétrie de l'information, l'interdépendance entre acteurs qui subissent le cyberrisque et les pertes corrélées (ou risque d'accumulation). C'est la conclusion de l'agence de cybersécurité américaine dépendant du ministère de l'Intérieur qui s'est penchée sur le secteur de l'assurance cyber. Il n'y a aujourd'hui aucun modèle théorique qui puisse lier de manière précise l'entreprise qui veut souscrire à une assurance à sa posture de sécurité et aux menaces cyber qui pèsent contre elle et aux pertes potentielles auxquelles elle s'expose. Dans tout autre secteur, on peut au moins déterminer le niveau de risque par rapport à l'activité menée (selon que c'est une usine Seveso ou pas, que la zone est inondable ou non,...) mais en cyber, rien de tel n'existe.

Le manque de données historiques

Comparé aux autres risques à couvrir, les compagnies d'assurance n'ont qu'un historique de plus ou moins 7 ans de pertes dues à des incidents cyber. Les assurances cyber n'existent pas depuis longtemps ! Et encore, tous les types d'incidents cyber ne sont pas couverts par cet historique. Tous n'ont pas (encore) donné lieu à des pertes: c'est surtout l'historique des ransomwares, des malwares et du phishing qui existe : or, il y a bien d'autres menaces et chaque nouvelle technologie ou manière de faire apporte les siennes. Ces misérables 7 ans sont à comparer à la centaine d'années de données historiques sur d'autres risques naturels comme les inondations. Il y a aussi beaucoup d'évènements cyber qui n'ont pas donné lieu à des déclarations parce qu'ils n'ont pas été découverts ou révélés. De ce point de vue, les obligations réglementaires de rapporter des cyber incidents aux autorités résoudront en partie ce problème : il n'y aura plus le choix que de le faire savoir.

Verizon a observé une différence significative entre le nombre d'incidents rapportés par le secteur public et par le secteur privé où moins d'obligations (morales de transparence) ont cours : le facteur est d'un ordre 20 ce qui en dit long sur la culture du silence gêné qu'on peut comprendre mais ce n'est pas une bonne posture de cybersécurité. On hésite à rapporter un cyber incident, à demander de le couvrir car cela implique une enquête qui peut nuire à la réputation commerciale.

Même si on disposait des données historiques, explique l'agence américaine de cybersécurité, leur validité à long terme poserait question. Le caractère très changeant de la menace cyber (les pirates inventent de nouvelles techniques tous les jours et chaque technologie apporte son lot de vulnérabilités) rend l'utilité des données historiques douteuse. Et il est difficile de prédire l'évolution de la menace. Tout ceci est à comparer à d'autres risques comme les inondations dont le caractère et les conséquences ne changent pas : une inondation, c'est une inondation.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Le manque de données historiques a aussi un impact sur la perception du risque et influence la décision ou non de prendre une cyber assurance ou d'en proposer. Les compagnies d'assurance ont eu jusqu'il y a peu une tendance à surestimer la profitabilité de ce produit. Les professionnels surestiment la probabilité de survenance d'une cyber attaque mais sous-estiment l'impact financier. Ce sont autant d'incitants à proposer des produits d'assurance puisque le client se dit que cela va lui arriver.

Pas de modèles

Il n'y a aucun modèle pour estimer le risque, le quantifier et à fortiori le calibrer par rapport à des données historiques. De tels modèles, s'ils existaient, devraient être agiles pour s'adapter aux techniques tout le temps changeantes des hackers. Autre danger pour les compagnies d'assurance : le côté en cascade du risque. Comme l'ont montré les ransomwares ou les vers, une fois qu'une attaque a du succès, elle se répand à plusieurs entreprises sans crier gare (NotPetya) dans tout un secteur. Elle ne se limitera pas à une seule entreprise. La standardisation des systèmes informatiques l'explique. Le montant des pertes à couvrir à estimer n'est pas à calculer à l'échelle d'un seul assuré mais de plusieurs et gare s'ils sont tous assurés auprès de la même compagnie : c'est ce qu'on appelle le risque d'accumulation. La sécurité d'une entreprise dépend aussi souvent comment ses partenaires, ses clients ou ses fournisseurs qui, de plus en plus interconnectent leurs systèmes entre eux, ont organisés leur propre sécurité. Là, un assureur n'a pas de contrôle , insiste l'agence américaine de cybersécurité.

Le manque de partage d'information est un autre écueil. Personne ne veut révéler ses vulnérabilités de peur de nuire à sa réputation. Cela donne une asymétrie de l'information : l'assureur connait beaucoup moins bien les risques que son assuré. Pire: un assuré peut décider de  relâcher ses efforts  en termes de mise en place ou de maintien d'une bonne cybersécurité en pensant que le risque est couvert. La compagnie d'assurance couvre un chat dans un sac, dans ce cas. C'est pourquoi, au moment de renouveler une police de cyber assurance, la compagnie vient sur place et essaie tant bien que mal de contrôler ce que l'assuré a lui-même mis en place mais si c'est écouter une présentation, ce ne sont que de beaux discours. Il faudrait aller jusqu'à un audit par des tiers spécialisés. Et puis, quand on installe un software, comment peut-on aussi être sûr de sa qualité et de sa sécurité ? Ceci dit, ajoute un peu perfidement l'agence américaine de cybersécurité, les assureurs ne sont pas beaucoup plus vertueux : ils hésitent aussi à se partager de l'information sur les dommages qu'ils ont couverts.

Les prix

Les prix demandés, enfin,  pour les assurances sont de tout ordre : un prix fixe all-in-one ou en fonction des contrôles mis en place par la société. Face à l'asymétrie de l'information qui règne, la prime de cyberassurance n'est même pas un motivateur à augmenter la qualité de sa cybersécurité. Elle est fonction d'un jugement et ce n'est pas bon. Pour limiter l'accumulation de risques, il y a aussi des grosses limitations dans montant couverts. Au final, les limites assurables sont trop basses par rapport au dommage réel. Enfin, le langage utilisé dans les contrats de cyberassurances est souvent confus ou peu clair. Cela crée de la confusion sur ce qui est vraiment couvert. Une normalisation des termes serait le bienvenu.

Si vous voulez souscrire à une assurance cyber, sachez que les assureurs sont en train de bâtir ces produits. Rien n'est encore coulé dans le marbre : vous pouvez négocier mais votre compagnie d'assurance aussi et c'est légitime.

_________

Pour en savoir plus :

Assessment of the Cyber Insurance Market, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency, Office of the Chief Economist, Draft Version: July 2019

Charles Cuvelliez et Emmanuel Michiels

Sur le même sujet

Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats
Diane Scemama

OPINION. « Nous ne sauverons pas l'industrie française avec des discours »

Depuis plusieurs décennies, le bulletin météo de l'industrie française ressemble à une succession d'alertes. Tempête sur l'emploi industriel. Avis de grand frais sur les savoir-faire. Dépression persistante sur nos territoires.

Idées & Débats