Faits d’actualité récurrents, les attaques de type cyber ne sont plus des cas à la marge dans notre quotidien.
Longtemps perçue comme un marché de niche, l’assurance cyber est désormais au cœur des débats stratégiques des assureurs, des entreprises et des autorités publiques.
Depuis presque un an et notre dernière note sur les assurances cyber, la France connait une sinistralité en hausse, une volatilité tarifaire et une multiplication des attaques, parfois de grandes envergures. Tous ces faits rappellent que le secteur reste fragile et pas encore mature malgré une progression continue du nombre d’entreprises couvertes en France.
2024 : une année charnière ?
D’après la dernière étude LUCY (Lumière sur la cyberassurance) parue en juillet dernier, l’année 2024 a été marquée par un repli du montant des primes collectées sur le marché français, passant de 328 M€ en 2023 à 317 M€ (-3,4%).
Cette baisse s’explique par des ajustements tarifaires à la baisse alors même que la sinistralité a bondi (+43%) pour atteindre 55 M€.
Deux phénomènes majeurs peuvent expliquer cette situation :
- La multiplication des attaques réussies contre de grandes entreprises françaises (Free, Harvest, Boulanger, SFR).
- L’augmentation des sinistres de grande ampleur, en 2024 ; pour la première fois deux sinistres ont dépassé les 10M€.
Les PME et ETI restent les principales victimes de ces attaques avec une hausse de 117% du nombre de sinistres déclarés.
Malgré des montants moyens de sinistres modestes, la dynamique actuelle pèse lourd sur la sinistralité globale.
Face à cette aggravation, les autorités françaises ont adopté une posture plus proactive. L’ANSSI multiplie les guides pratiques et pousse les entreprises à renforcer leur niveau de résilience (authentification multifactorielle, segmentation réseau, détection avancée).
Les assureurs, eux, restent partagés. D’un côté, des acteurs traditionnels ajustent prudemment leur exposition, craignant qu’un « mégasinistre » ne vienne absorber la totalité des primes collectées. De l’autre, des insurtechs comme Stoïk poursuivent leur expansion avec une stratégie offensive :
- Lancement de produits combinant RC Pro et cyber pour les ESN.
- Déploiement de solutions de prévention intégrées (Stoïk Protect, MDR, Cert-Stoïk).
- Expansion internationale rapide (Allemagne, Autriche, Espagne et maintenant Luxembourg).
Cette dualité illustre le dilemme : comment rester présent sur un marché en croissance structurelle tout en maîtrisant la volatilité d’une sinistralité parfois explosive ?
La France en retard sur ses voisins ?
Comparée à l’Allemagne ou au Royaume-Uni, la France apparaît moins avancée en matière de cyberassurance. Trois raisons peuvent être avancées :
- Une couverture encore trop concentrée sur les grands comptes. Si 95 % des grandes entreprises françaises sont désormais assurées, la pénétration reste faible dans le tissu PME/ETI, alors qu’il constitue la cible prioritaire des cybercriminels.
- Un marché fragmenté et des données encore insuffisantes. Le manque de référentiels communs limite la capacité des assureurs à modéliser finement le risque, alors que l’Allemagne et le Royaume-Uni semblent bénéficier de bases de données plus étoffées et d’une réassurance mieux structurée.
- Une approche prudente des porteurs de risque. Après les hausses tarifaires de 2021-2022, plusieurs assureurs français se sont retirés partiellement du segment, ralentissant la diffusion des couvertures. À l’inverse, en Allemagne, l’arrivée d’acteurs internationaux (Coalition, Baobab) a stimulé la concurrence et enrichi l’offre.
Ce « retard » français n’est pas technologique : les compétences existent. Il s’agit avant tout d’un problème de modèle économique et de distribution.
L’arrivée sur le marché de nouveaux partenariats (Stoik/Tokio Marine) semble présager une dynamique positive pour le marché, mais nous pouvons soulever plusieurs pistes pour voir le marché tendre vers la stabilité : (
- Renforcement de la prévention. Les offres couplant assurance et services de cybersécurité (Gestion de détection et réponse, audits) permettent de réduire la sinistralité. Cette tendance, amorcée par les insurtechs, devrait s’étendre.
- Partage accru de données. La mise en commun de statistiques anonymisées entre assureurs et autorités est essentielle pour bâtir des modèles tarifaires robustes et attractifs.
- Envisager des partenariats public/privé. Comme pour le risque terrorisme (modèle GAREAT), un mécanisme de solidarité pour absorber les « méga-sinistres » d’origine géopolitique pourrait sécuriser le marché.
- Et le cœur du sujet reste le ciblage du segment PME/ETI. La simplification des produits (packaging, combinaisons RC Pro + cyber), la distribution via courtiers et la sensibilisation des dirigeants d’entreprises sont indispensables pour accroître le taux d’équipement.
La cyberassurance française en 2025 se trouve à un carrefour : d’un côté une demande croissante portée par un contexte cyber de plus en plus dynamique et l’incitation des autorités à mieux se protéger, de l’autre une sinistralité qui inquiète et menace la rentabilité des porteurs de risque.
Alors 2026 marquera-t-elle l’année de la stabilité du marché ou celle de sa transformation ?
