Je travaille dans l’assurance cyber depuis plus de dix ans et j’ai été témoin de transformations majeures. Le marché a gagné en taille, en sophistication et en maturité, tout en trouvant progressivement sa véritable raison d’être. Les évolutions que j’ai observées offrent des clés de lecture précieuses pour comprendre comment, au cours de la prochaine décennie, nous pourrons mieux aider les organisations à se préparer, se protéger et se relever après une cyberattaque.
Le cyber passe au premier plan
Lorsque j’ai commencé ma carrière comme gestionnaire de sinistres, le risque cyber était encore souvent perçu comme un simple complément aux polices d’assurance traditionnelles.
Cette perception était particulièrement marquée en Europe, où le risque comme les mécanismes de couverture étaient moins bien compris qu’aux États-Unis.
Tout a basculé en 2016 et 2017. Une série d’attaques majeures, connues sous les noms de Petya, NotPetya et WannaCry, a touché des centaines de milliers d’ordinateurs à travers le monde. Ce fut un véritable électrochoc. Ces événements ont montré que la cyberattaque pouvait devenir un risque systémique, capable d’affecter simultanément des milliers d’organisations et d’entraîner des pertes susceptibles de menacer la viabilité même d’une entreprise.
Une prise de conscience accrue des risques cyber
Après WannaCry et les autres vagues d’attaques de type Petya et non-Petya, la perception des entreprises a profondément évolué. Ces crises ont rappelé une réalité simple et brutale, tout le monde peut être vulnérable. Le cyber ne se limite pas à un enjeu financier, il engage aussi la réputation et l’image de marque des organisations.
Avant cela, il était parfois difficile d’engager les petites et moyennes entreprises dans une réflexion sur l’intérêt d’une assurance cyber. Beaucoup y voyaient une charge supplémentaire et estimaient être trop petites pour attirer l’attention des cybercriminels.
Avec l’augmentation de la fréquence et de la gravité des attaques, cette vision a volé en éclats. Il est devenu évident que l’assurance cyber concerne toutes les organisations, quelle que soit leur taille.
Les clients ont besoin d’un partenaire tout au long du parcours
La vague de sinistres qui a suivi WannaCry a été extrêmement formatrice. J’ai accompagné des clients très différents, de grandes entreprises comme de petites structures, avec des attentes et des contraintes spécifiques.
Pour certains de ces petits clients, l’entreprise représentait l’œuvre de toute une vie, souvent construite à partir de rien et constituant l’unique source de revenus. Au-delà de l’expertise technique et des conseils, ils avaient aussi besoin d’écoute et d’empathie.
Chez AXA XL, lorsqu’un client déclare un sinistre cyber, il est accompagné par un interlocuteur unique du début à la fin du processus. C’est l’un des piliers de notre approche. J’en suis convaincue, cette continuité fait une réelle différence pour des dirigeants confrontés à l’un des moments les plus éprouvants de leur vie professionnelle. Dans ces situations, se sentir entendu et soutenu est essentiel.
« La cyber-guerre n’est plus une notion théorique. »
L’intelligence artificielle, entre défi et opportunité
L’intelligence artificielle constitue une avancée majeure pour nos clients comme pour nous. Elle ouvre des perspectives considérables, mais toute innovation de cette ampleur s’accompagne de nouveaux risques. Les attaquants utilisent déjà l’IA pour augmenter le volume des attaques et en améliorer l’efficacité. Dans le même temps, cette technologie nous permet de mieux évaluer les risques, de surveiller les menaces et de renforcer les capacités de réponse.
Aux débuts de l’assurance cyber, l’évaluation des risques reposait essentiellement sur des questionnaires. Aujourd’hui, nous adoptons une approche beaucoup plus globale. L’analyse est enrichie par des outils de scanning et par un suivi continu tout au long de la vie de la police. En collaboration avec des partenaires technologiques, nous utilisons l’IA pour mieux appréhender l’exposition réelle des clients. C’est un changement de paradigme, qui apporte davantage de clarté, tant pour l’assuré que pour l’assureur.
Le risque cyber évolue en permanence, et notre compréhension de ce risque, comme les garanties et les services que nous proposons, évoluent au même rythme. AXA XL a d’ailleurs été l’un des premiers assureurs à développer une extension dédiée à l’IA générative, afin de couvrir certains risques spécifiques auxquels les entreprises peuvent être exposées lorsqu’elles déploient leurs propres modèles.
Un avenir fait de menaces et de solutions en constante évolution
L’assurance cyber continuera de se transformer au cours de la prochaine décennie pour répondre à des besoins toujours plus complexes. L’intelligence artificielle n’est qu’un volet parmi d’autres.
Le monde est de plus en plus interconnecté, ce qui crée à la fois de formidables opportunités et de nouvelles vulnérabilités. La notion de polycrise est aujourd’hui au cœur des préoccupations de nombreux dirigeants. La cyber-guerre n’est plus un concept théorique, elle est déjà une réalité. Le risque systémique occupe également une place centrale dans nos analyses. Une panne majeure d’un fournisseur de services cloud, par exemple, pourrait avoir des répercussions à l’échelle mondiale.
Nos équipes de conseil en risques cyber consacrent leur expertise à comprendre ces évolutions. Cette connaissance nourrit notre manière d’opérer et renforce l’accompagnement que nous proposons aux clients pour réduire leur exposition.
Ces risques ne doivent pas nous dissuader d’assurer le cyber. Ils nous rappellent en revanche une évidence, l’assurance, à elle seule, ne suffit pas. Pour renforcer la résilience, la coopération est indispensable. Je participe régulièrement à des échanges entre assureurs, réassureurs, courtiers et entreprises afin de favoriser une approche plus collective et de présenter un front uni face à un paysage de menaces en perpétuelle mutation.
Avec plus de dix ans de recul, je peux dire sans hésiter que je ne me suis jamais ennuyée dans l’assurance cyber. Aucun jour ne ressemble au précédent, et je suis convaincue que les dix prochaines années seront encore plus passionnantes. En aidant les organisations à prévenir les attaques, nous contribuons aussi, très concrètement, à rendre le monde numérique plus sûr.
