Face à l’évolution des menaces, les polices traditionnelles, initialement conçues pour couvrir des sinistres physiques tels que les incendies, explosions ou catastrophes naturelles, apparaissent désormais inadaptées à la réalité du risque cyberphysique. Les contrats actuels laissent souvent subsister des zones d’ombre : certains risques cyber sont couverts de manière implicite (avec les silent covers), tandis que d’autres font l’objet d’exclusions explicites. Cette incertitude contractuelle expose les entreprises à des risques majeurs de non-couverture.
L’émergence des cybermenaces impose donc une transformation profonde du marché de l’assurance. Cela passe par la conception de produits adaptés, capables de couvrir et d’indemniser les entreprises victimes d’attaques tout en clarifiant la répartition des responsabilités entre les différentes parties prenantes. Pour relever ce défi, les assureurs doivent innover, ajuster leurs offres et renforcer les dispositifs de prévention afin de continuer à protéger efficacement les organisations dans un environnement toujours plus interconnecté et vulnérable.
Les cyberattaques ne se limitent plus désormais au vol de données. Elles visent à paralyser des chaînes de production, à endommager ou détruire des équipements et à entraîner des pertes financières considérables. Elles exploitent les vulnérabilités des systèmes de contrôle industriel, des objets connectés, mais aussi les erreurs humaines et les failles organisationnelles pour provoquer des conséquences multiples : détérioration matérielle, perte de productivité, coûts de remise en état et pertes d’exploitation prolongées.
Les récents rapports de marché sur l’assurance dommages aux biens témoignent d’une prise de conscience croissante des acteurs du secteur face à l’intensification et à la complexification du risque cyberphysique.
I. Les cyber-risques et leur impact sur les actifs matériels assurés1. Tendances de marché et évolution des cyber-risques
L’analyse des tendances révèle une accélération préoccupante des cyberattaques, tant en volume qu’en sophistication. En France et à l’échelle mondiale on observe une intensification des menaces, notamment en ce qui concerne la vulnérabilité des actifs matériels des entreprises.
En 2024, la France a été victime d’une recrudescence en nombre des attaques numériques. Près de 43 % des entreprises et organisations publiques ont enregistré au moins une cyberattaque réussie, totalisant plus de 385 000 incidents, et la majorité ont ciblé les petites et moyennes entreprises, bien moins équipées pour faire face à ces risques.
Le coût considérable des violations de données illustre l’ampleur des conséquences financières que ces attaques peuvent engendrer sur une entreprise, quelle que soit sa taille. On observe que les techniques d’attaque restent dominées par le phishing, qui représente environ 73 % des incidents, suivi par l’exploitation des vulnérabilités techniques du système d’information, recensées dans 53 % des cas, et « l’arnaque au Président », (demande frauduleuse de paiement faite à des salariés, en excipent d’une instruction d’un Dirigeant), présente dans 38 % des attaques. Cette escalade des cybermenaces a des répercussions économiques majeures pour les entreprises.
La forte progression des attaques par ransomware entraîne régulièrement la paralysie de systèmes critiques, tels que ceux des hôpitaux et des infrastructures industrielles, générant des interruptions d’activité qui impactent les actifs matériels et génèrent des dépenses élevées pour la remise en état des systèmes affectés. De plus, les cybercriminels concentrent désormais une part croissante de leurs efforts sur les équipements physiques tels que les serveurs, les automates industriels et les objets connectés. Ils figurent parmi les principales menaces identifiées pour 2025.
L’automatisation des attaques, renforcée par l’intelligence artificielle, permet aux cybercriminels de lancer des offensives mieux ciblées, rapides et difficiles à détecter, ce qui augmente la vulnérabilité des équipements physiques et des systèmes industriels. Ces attaques provoquent des pannes, des surchauffes et parfois la destruction complète d’équipements, perturbant ainsi directement la continuité des activités.
Sur le plan économique, les cyberattaques sont désormais perçues comme le risque majeur auquel les entreprises sont confrontées à l’échelle mondiale, reléguant au second plan les catastrophes naturelles ainsi que les risques géopolitiques.
Cette réalité se confirme aussi bien en France qu’à l’international, où l’augmentation en fréquence et en sophistication des cyberattaques menace directement les actifs matériels. Face à cette situation, il est devenu indispensable pour les entreprises de renforcer leurs dispositifs de protection afin de maîtriser et atténuer les impacts d’un risque en constante évolution lié à la digitalisation généralisée des entreprises multipliant les points d’accès pour les cybercriminels qui exploitent désormais des failles aussi bien numériques que matérielles.
2. La vulnérabilité des actifs matériels assurés
L’interconnexion des systèmes d’information avec les équipements matériels s’est fortement développée dans la période récente et a considérablement élargi le périmètre de vulnérabilité des entreprises. Cette convergence entre le numérique et le physique a créé de nouveaux points de vulnérabilité, transformant alors des équipements traditionnellement considérés comme des actifs matériels classiques en cibles potentielles de cyberattaques. Ces biens exposés constituent un enjeu majeur pour l’adaptation des contrats d’assurance des dommages aux biens.
L’analyse de la couverture actuelle proposée par les contrats d’assurance dommages aux biens montre un décalage significatif entre l’évolution des risques et l’adaptation des garanties assurantielles. Les polices traditionnelles d’assurance dommages aux biens ont été conçues dans un contexte où les risques informatiques et leurs répercussions matérielles occupaient une place marginale dans l’évaluation des expositions. Cette approche historique des contrats DAB se révèle aujourd’hui dépassée face à la convergence croissante entre les cyber-risques et les dommages matériels.
L’étendue de la couverture d’une police cyber reste souvent limitée en ce qui concerne les dommages matériels induits par une cyberattaque. À l’inverse, les contrats d’assurance dommages aux biens traditionnels excluent généralement les pertes résultant d’événements cyber, créant une zone grise dans la couverture des risques hybrides.
Dès lors, l’enjeu pour le secteur assurantiel est de réconcilier les deux approches (dommages aux biens et cyberassurance) afin de proposer une couverture continue et cohérente. Divers rapports sur le marché, tel que le Rapport d’étude de marché sur l’assurance dommages aux biens 2022, indiquent une relecture des exclusions, une extension des garanties existantes et le développement de clauses spécifiques aux dommages matériels d’origine cyber.
L’évolution du marché est en cours. Plusieurs compagnies d’assurance travaillent à développer des produits intégrés ou des approches dites « tout risque sauf exclusions cyber spécifiques », visant à réduire les ruptures de garantie entre les dommages matériels et les cyber-risques les plus courants.
En effet, les couvertures restent souvent partielles : des extensions sont proposées, mais limitées par des plafonds de remboursement ou des franchises élevées, ce qui rend la prise en charge insuffisante face à des sinistres lourds. Par exemple, une attaque par ransomware paralysant un système de production peut entraîner des pertes matérielles et d’exploitation difficilement évaluables dans le cadre d’un contrat conçu pour des dommages purement physiques. Des rapports sur le marché, comme celui publié par Wise Guy Reports (2023), appellent à une refonte structurelle des contrats d’assurance dommages aux biens, afin d’y intégrer pleinement la dimension cyber.
La couverture actuelle du risque cyber demeure en phase de transition. En effet, pour répondre efficacement aux enjeux posés par la montée des cyberattaques ciblant les actifs matériels, les assureurs doivent innover, adapter leurs produits et construire des solutions hybrides capables de garantir à la fois les dommages directs et les conséquences indirectes sur l’activité.
II. Réponses et enjeux pour le secteur de l’assurance dommages aux biens1. Évaluation du risque et réponses stratégiques
La montée en puissance des cybermenaces rend l’évaluation des risques en assurance dommages aux biens de plus en plus complexe. Pour y faire face, il est essentiel d’adopter une approche globale qui prenne en compte la rareté et la diversité des données tout en intégrant une stratégie de prévention / protection et une collaboration étroite avec des spécialistes en cybersécurité.
L’obstacle majeur à l’adaptation efficace de l’assurance dommages aux biens à cette nouvelle réalité est la difficulté d’évaluation du risque cyber appliqué aux actifs matériels au sein d’un établissement, qu’il soit privé ou public. Contrairement aux sinistres traditionnels, dont les sinistres et les événements sont généralement bien documentés, les cyberattaques sont méconnues et parfois peu comprises.
Ces sinistres ne sont que rarement rendus publics. Les entreprises préfèrent souvent taire les incidents pour protéger leur réputation sur le marché ou éviter des conséquences réglementaires qui pourraient s’ajouter à ces événements. Cette rareté des données rend donc la modélisation actuarielle extrêmement délicate avec l’absence d’un historique des sinistres fiables.
Pour empêcher d’identifier des sources récurrentes de problème, nous pouvons établir des statistiques robustes, ce qui est la condition de base pour permettre l’élaboration d’une tarification juste et une couverture soutenable dans le temps par les assureurs.
La complexité du risque cyber et les incertitudes sur sa définition constituent un second facteur d’incertitude et d’exclusion du cyber des polices DAB. Contrairement aux événements physiques qui sont généralement circonscrits dans l’espace et dans le temps, une cyberattaque peut avoir des effets systémiques, non-linéaires et différés.
Un même vecteur d’attaque peut causer simultanément des interruptions de production, des dommages matériels irréversibles à des machines connectées, ainsi que des pertes immatérielles, le tout sans qu’il soit immédiatement possible de distinguer les causes directes et les conséquences indirectes de l’incident.
L’interconnexion des systèmes et la dépendance croissante à des prestataires extérieurs (cloud, logiciels industriels) introduisent également une chaîne de responsabilité floue, qui rend difficile l’attribution exacte des dommages et leur rattachement contractuel à des garanties spécifiques.
Ces zones grises compliquent considérablement le travail des experts et des actuaires, mais aussi celui des juristes chargés de définir les contours des contrats.
La réponse stratégique à ces difficultés passe par la mise en place de nouveaux mécanismes de collecte, de standardisation et de partage des données cyber, spécifiquement orientés vers les sinistres ayant un impact matériel.
C’est une piste prometteuse qui réside uniquement dans la constitution de bases de données mutualisées entre assureurs, réassureurs, grandes entreprises industrielles et régulateurs pour mieux connaître l’impact direct ainsi que les modes opératoires des attaques cyber afin de s’en prémunir et de les limiter dans le temps.
Sur le modèle de ce qui a été fait dans le domaine de la sinistralité automobile ou des catastrophes naturelles, ces bases de données pourraient permettre de centraliser les incidents cyber affectant des actifs physiques, tout en garantissant une certaine anonymisation des données pour préserver la confidentialité des entreprises qui sont concernées. L’objectif principal étant de constituer une base de données statistiques solide, afin d’améliorer les modèles prédictifs et de préciser l’analyse des risques selon le secteur d’activité, le type d’équipement ou l’architecture informatique.
La mise en place d’outils d’analyse dynamique des vulnérabilités matérielles, associés à des systèmes de notation du risque cyber inspirés des agences de rating, pourrait fournir aux assureurs des indicateurs plus précis et exploitables afin de prendre en compte le risque cyber associé aux contrats dommages aux biens.
L’intégration de notations cyber dans les grilles de souscription de l’assurance dommages permettrait ainsi de tarifer plus finement les polices en fonction du niveau de sécurisation des systèmes matériels connectés. Un tel changement nécessiterait une nouvelle réflexion technique approfondie sur les notations et leur traduction dans la tarification et des actions de formation auprès des souscripteurs.
Enfin, il conviendrait de réviser les fondements contractuels et juridiques des assurances dommages aux biens pour mieux intégrer la dimension hybride du risque cyberphysique. Aujourd’hui, de nombreuses polices excluent intégralement les cyberattaques ou ne les couvrent que de manière partielle. Cette segmentation n’est plus tenable dans un monde où la frontière entre numérique et physique s’efface d’année en année. La refonte des contrats standards, intégrant dès leur conception des clauses spécifiques aux dommages matériels causés par des cyberattaques, permettrait de mieux encadrer les responsabilités et d’aligner les intérêts des assurés avec ceux des assureurs, favorables à une démarche de prévention renforcée.
L’essor des cyberattaques ciblant les actifs matériels oblige le secteur de l’assurance à repenser son approche. Jusqu’ici, les assureurs intervenaient principalement après un sinistre, indemnisant les pertes selon des critères établis. Mais avec l’évolution des menaces et la vulnérabilité croissante des actifs physiques liés au numérique, cette approche purement réparatrice atteint ses limites. Désormais, le modèle assurantiel doit intégrer davantage de prévention, en renforçant la coopération entre assureurs et assurés pour anticiper les risques et mieux protéger les entreprises.
Après avoir évoqué la multiplication de ces cyberattaques qui visent des infrastructures physiques telles que les systèmes industriels, les bâtiments connectés, les équipements médicaux ou encore les machines des chaînes de production, on observe que ce n’est plus uniquement le système numérique qui est touché et menacé, mais bel et bien la continuité matérielle de l’activité ayant pour conséquence économique directe, un arrêt de la production et des destructions d’équipements allant jusqu’à la mise en danger de personnes lors d’attaque sur des hôpitaux. Cela transforme donc les fondements techniques de l’assurance dommages aux biens, se reposant historiquement sur des risques tangibles, localisables et modélisables.
2. Adaptation des contrats d’assurance
L’essor des cyberattaques ciblant des infrastructures physiques, et donc des biens ou actifs matériels, provoque un bouleversement dans l’assurance dommages aux biens. En effet, alors qu’elles étaient, au début, considérées comme des risques secondaires et souvent absorbés ou sous-entendues dans les contrats classiques, les cybermenaces se sont imposées comme des causes premières de sinistres majeurs, parfois catastrophiques car elles provoquaient de lourdes pertes financières. Ce changement de nature, de fréquence et d’intensité a conduit de nombreuses compagnies d’assurance à entamer une transition stratégique vers une sortie progressive du risque cyber des garanties dommages aux biens.
Ce retrait de couverture s’inscrit dans une redéfinition du périmètre d’assurance, motivée par trois éléments principaux :
– l’intensification des attaques ciblant des actifs matériels connectés ;
– les coûts liés aux sinistres d’origine cyber qui deviennent difficilement soutenables dans des portefeuilles dommages aux biens dont ils transforment les résultats techniques ;
– des enjeux juridiques de plus en plus complexes qui émergent autour de la qualification de l’événement déclencheur (incident matériel ou intrusion numérique), rendant la gestion des sinistres beaucoup plus difficile.
De nombreuses compagnies, sous l’impulsion des grands réassureurs, ont opté pour une clarification des garanties, en excluant les risques cyber des contrats dommages standards. Cette cyberexclusion peut prendre plusieurs formes : exclusion totale ; limitation aux pertes directes ; conclusion d’une police dédiée.
Cette tendance à l’externalisation du risque cyber vers des polices spécifiques, appelée « stand-alone cyber », soulève pourtant plusieurs questions. D’un point de vue technique, elle suppose que l’assuré puisse identifier avec précision les frontières entre sinistres matériels « traditionnels » et sinistres dûs à une attaque cyber, ce qui est loin d’être évident en pratique.
Dans un contexte où les mondes physique et numérique sont étroitement liés, nombre d’événements comme des pannes industrielles, des interruptions d’activité, des incendies liés à un piratage de système de gestion, se situent à la frontière des deux types d’événements. Cette ambiguïté crée alors un risque de non-assurance, ou du moins, de conflit sur la répartition des responsabilités entre assureurs dommages et assureurs cyber. Cela impacte l’assuré qui peut ne pas comprendre ou accepter les limites de ses assurances.
Par ailleurs, les PME et les ETI industrielles, qui constituent une part importante du secteur industriels dans son ensemble, ne disposent pas des moyens ou de l’expertise pour souscrire des polices cyber spécifiques. Ces entreprises se retrouvent alors partiellement exposées à un risque croissant, non couvert, au moment même où leur vulnérabilité augmente.
S’ajoutent à cette incertitude, les silent covers qui désignent des garanties incluses dans les contrats d’assurance, où des risques liés aux cyberattaques peuvent être couverts sans être explicitement mentionnés. Dans le cadre des polices dommages aux biens, ce phénomène crée une zone d’incertitude sur la portée des garanties. En l’absence d’exclusion formelle, l’assureur peut se retrouver contraint d’indemniser un sinistre cyber, même si ce risque n’a été, ni évalué, ni tarifé dans la police DAB générale.
Cette imprécision expose d’abord les assureurs à des pertes imprévues, notamment dans des cyberattaques massives affectant des équipements matériels. D’autre part, elle entretient chez les assurés une illusion de protection, alors même que la couverture pourrait leur être refusée en cas de litige. Pour limiter cette insécurité juridique, de nombreux régulateurs et acteurs du marché exigent aujourd’hui que les contrats soient clarifiés, en intégrant ou en excluant explicitement les risques d’origine cyber.
L’objectif est de mettre fin à ces couvertures silencieuses, en renforçant la transparence et la maîtrise du risque. Plusieurs solutions peuvent être mises en œuvre, afin de repenser les limites entre risques cyber et dommages aux biens, sans compromettre l’équilibre technique des portefeuilles de dommages aux biens.
La première piste est de développer des polices hybrides, intégrant une partie cyberphysique dans les contrats dommages aux biens traditionnels, mais limité à certains scénarios préalablement définis. Ces clauses peuvent couvrir, par exemple, les conséquences matérielles d’une attaque par ransomware sur un système industriel, ou les dommages causés à des équipements à la suite d’une prise de contrôle distante. Cela permet d’assurer une continuité de protection tout en encadrant le risque par des définitions précises, des plafonds d’indemnisation, et des conditions de sécurité minimales à respecter.
Cette hybridation ne va pas sans complexité. Un des premiers défis est celui de la définition contractuelle précise du périmètre de couverture. Il est impératif que les termes techniques (attaque, incident, dommage cyberphysique, système critique) fassent l’objet d’un consensus lexical clair entre assureur et assuré. Cela suppose une co-construction des contrats avec les services techniques des entreprises clientes, voire avec leurs prestataires informatiques ou experts en cybersécurité. L’assureur doit s’intégrer dans cette logique d’écosystème.
Une seconde approche repose sur la coassurance ou la collaboration entre assureurs. Face à un sinistre hybride, l’assureur dommages et l’assureur cyber travailleraient ensemble, chacun couvrant la part qui relève de son domaine. Dans des situations où les responsabilités restent inévitablement floues, cette solution pourrait apporter une réelle stabilité et une prise en charge mieux adaptée aux enjeux actuels.
Sur le plan réglementaire, les autorités de supervision peuvent également jouer un rôle en encourageant une couverture minimale du risque cyberphysique, notamment pour les entreprises critiques ou soumises à des obligations de continuité d’activité. Des incitations prudentielles pourraient être envisagées pour soutenir les produits mixtes, en particulier dans les secteurs exposés (énergie, transport, santé, industrie manufacturière).
La sortie progressive du risque cyber des polices dommages aux biens, bien qu’elle réponde à une nécessité économique pour les assureurs, ne peut se faire sans être repensée et remodelée de façon stratégique. Dans un monde où les cyberattaques génèrent des impacts matériels de plus en plus directs et importants, il est important de se pencher sur ces couvertures qui seront crucial pour l’avenir.
Enfin, une démarche de pédagogie contractuelle doit impérativement être développée. Les exclusions, clauses spécifiques et limitations doivent être non seulement lisibles, mais aussi comprises par les assurés. Cela implique des efforts de formation des courtiers, une simplification du langage contractuel, et une meilleure transparence des critères d’éligibilité aux extensions cyber. On pourrait envisager des annexes explicatives, des simulations de sinistres, ou encore des outils numériques d’auto-évaluation de la couverture réelle, accessibles aux assurés via leur espace client. Face à l’intensification des menaces cyber, il ne suffit plus d’écarter le péril, il faut le réintégrer dans un cadre juridique nouveau, cohérent et proportionné. À cette condition, l’assurance dommages pourra continuer à jouer son rôle d’infrastructure économique de confiance dans un monde interconnecté, vulnérable et en mutation constante.
En définitive, l’intensification des cyberattaques sur les actifs matériels ne signifie pas la fin de l’assurance dommages aux biens, mais impose une restructuration de ses mécanismes. Les produits hybrides offrent une première réponse à la dispersion des couvertures, à condition d’être techniquement rigoureux, financièrement viables et intégrés dans une approche globale. En adoptant des solutions contractuelles combinées entre assurance des biens et assurance des risques cyber, l’assurance facilite l’adaptation du tissu industriel à la transformation numérique, plutôt que de la freiner. L’évolution de la protection des biens repose alors sur l’innovation dans la conception des produits, en intégrant à la fois les dimensions matérielles et numériques et en promouvant la coassurance ou la collaboration entre assureurs généralistes et spécialistes.
