Malgré la multiplication des cyberattaques et l’augmentation de leurs coûts, l’assurance cyber reste peu développée. Au Forum INCYBER, Thierry Derez, président de Covéa, a détaillé les freins de ce marché et ses risques systémiques.
Le marché de l’assurance des risques cyber reste très limité au regard de l’ampleur des menaces numériques. Lors du Forum INCYBER de Lille, le 31 mars dernier, Thierry Derez, président du conseil d’administration de Covéa, a jugé ce marché encore « immature », alors même que les cyberattaques se multiplient et pèsent durablement sur les organisations.
Selon lui, ce décalage apparaît nettement dans les volumes. Les primes de l’assurance cyber atteignent environ 15 milliards de dollars par an, loin derrière les 4 300 milliards de dollars de l’assurance non-vie et les 1 700 milliards de l’assurance automobile. Après une forte progression entre 2017 et 2022, la croissance a ralenti, tandis que les prix des couvertures ont reculé au début de 2026.
Thierry Derez avance plusieurs explications. Une partie des entreprises, en particulier les plus petites, connaît encore mal ces produits d’assurance. D’autres estiment leur organisation suffisamment protégée par leur technologie ou leur organisation interne et ne jugent pas nécessaire de souscrire. Il souligne aussi l’absence de réglementation imposant une couverture cyber, y compris pour des activités entièrement en ligne.
Pour le dirigeant, cette situation contraste avec l’accélération de l’innovation et de la numérisation de l’économie. Il décrit « un choc entre deux temporalités : celle, immédiate, de l’innovation technologique, et celle, plus lente, de son adoption par l’économie ». Cette évolution accroît à la fois l’exposition des entreprises et les capacités d’action des cybercriminels.
Au-delà des pertes financières, le risque touche aussi la réputation, la relation client et la continuité d’activité. Thierry Derez rappelle qu’une cyberattaque peut fragiliser durablement une société. Il cite également des scénarios extrêmes, dans lesquels une attaque viserait simultanément un pays ou une région.
« Par nature, le risque cyber est systémique, comparable à une pandémie », affirme-t-il. Dans une attaque massive, les assurés et les assureurs pourraient être touchés au même moment, compliquant l’assistance et la remédiation : « C’est un défi majeur pour notre métier traditionnel en aval. » Pour Covéa, la maturité du marché passera par une meilleure prise de conscience du risque et par une intégration plus poussée de sa dimension systémique.