Le monde de l’assurance cyber connaît une sinistralité de plus en plus aggravée (tant au niveau de la fréquence que des coûts) depuis bientôt plus de deux ans, compte tenu d’innombrables attaques ransomware1, entraînant ainsi de nombreux vols et pertes de données confidentielles.
Les assureurs paient de plus en plus de sinistres et mènent donc des revues très strictes et drastiques de leurs portefeuilles Cyber et Fraude.
Ainsi, AIG, Chubb et Zurich proposent maintenant systématiquement des quotités non assurées2 à la suite d’évènements ransomware avec parfois même des sous-limites sur ce type d’évènement.
Lors des renouvellements des programmes d’assurances Groupes 2021 et 2022, le risque cyber s’est avéré très difficile à conserver dans le champ assurantiel tant ce contexte de hard market3 conduit à des réductions de couvertures pour certaines entreprises, faute de budget et de solutions.
La question du financement du risque cyber est donc la priorité des directions générales des entreprises. Or le recours à l’assurance directe se trouve dans une impasse au vu des tarifs et réductions de capacités des assureurs.
I. Une approche du risque qui montre ses limites
Risque récent avec peu d’historique, le cyber-risque a changé rapidement avec le développement des outils informatiques. Les actions mal intentionnées peuvent désormais se faire depuis n’importe quel endroit dans le monde.
Un risque avéré mais complexe à appréhender
Le cyber-risk est le premier risque pour les entreprises mondiales. En 2017, aux États-Unis, seulement 34 % des entreprises avaient contracté une police d’assurance cyber4. Même si le marché de l’assurance cyber y est plus mature qu’en France, les sinistres les plus importants ne sont pas encore très connus ou médiatisés, d’où une moindre prise de conscience de ce risque.
En 2018, la menace est renforcée et multipliée au sein des entreprises et l’attaque par ransomware devient le risque cyber le plus redouté.
En 2019, face à une explosion d’attaques et de piratages de plus en plus sophistiqués, une réflexion s’amorce au sein du domaine de l’assurance cyber. Les attaques deviennent majeures et les pertes financières ne cessent d’augmenter.
Les années 2020 et 2021 sont celles où la sinistralité cyber a été la plus impactée, avec des records de montants à indemniser. La fin 2020 est alarmante, avec pour conséquence une prise de conscience publique et la création d’un groupe de travail pour quantifier cette menace5.
Menée par des risk managers de grands groupes et des grands courtiers spécialistes du risque d’entreprise, l’enquête LUCY fait apparaître « une augmentation du volume de primes de 49 %, qui est passé de 87 M€ en 2019 à 130 M€ en 2020 »6.
Cette sinistralité globale à la hausse s’explique par « quatre sinistres de forte intensité indemnisés entre 10 et 40 millions chacun »7. Sans ces redoutables sinistres, les résultats techniques des assureurs auraient été stables.
Dans un contexte de hard-market, les couvertures d’assurance cyber se dégradent
Toutes lignes confondues, l’état de marché du risque cyber reprend les points d’attention suivants :
– les tendances de marché annoncées se sont confirmées et accentuées : restriction de capacité et de garantie, affinage de l’appétit, sélection selon maturité ;
– les marges de négociation par rapport aux cotations rendues sont de plus en plus étroites et la concurrence est rarement présente sur des dossiers jugés compétitifs par le marché ;
– les délais des referrals8 chez les assureurs sont très importants : il devient impératif d’anticiper ceux-ci si lorsque plusieurs options sont demandées ;
– il est judicieux pour les assurés de confirmer le placement des garanties rapidement pour éviter que les offres des assureurs soient retirées ou modifiées avec de nouvelles guidelines de souscription.
II. Une solution préférable à toute autre solution alternative de transferts du risque pour financer le risque cyber
Ce contexte global défavorable incite les sociétés à se tourner vers des solutions alternatives de financement de leurs risques, et notamment les solutions de type captives.
Les captives permettent à l’entreprise de conserver et de mutualiser des fonds afin de financer des risques propres à son cœur de métier. Ainsi, les captives répondent à un besoin de protection du bilan.
Depuis deux ans, le sujet des captives est plus présent avec le développement des « captives à la française » ; les grands groupes s’y intéressent de plus en plus pour financer leurs risques difficilement assurables.
Son objectif initial est de répondre à des problématiques de risk management, à savoir :
– la réduction et/ou optimisation des coûts de financement des risques ;
– la couverture des risques non pris en charge par le marché des assurances ;
– la mutualisation des risques de la société pour peser sur les négociations commerciales.
Une entreprise peut conserver ainsi du profit et ses fonds au lieu de les céder à l’assureur en échange d’une couverture. En effet, si l’entreprise paye un contrat pendant de nombreuses années sans aucune sinistralité, sa prime est à « fonds perdus » et reste donc dans les caisses de l’assureur.
Du bon usage de la captive
Par ailleurs, cette captive permet une meilleure gestion des programmes d’assurance en octroyant la possibilité de mieux les structurer, car il existe moins de contraintes par rapport au marché de l’assurance.
Enfin, avoir une captive ouvre la possibilité à d’autres acteurs, assureurs et réassureurs, de s’intéresser aux programmes d’assurance et proposer potentiellement une capacité.
En revanche, pour que la captive reste pérenne dans le temps, il est impératif que les risques mis dans cette dernière soient variés. Le risque cyber ou fraude peuvent en faire partie mais en complément d’autres branches comme le transport ou le dommage aux biens.
Au sens de la directive de 2005 (Directive 2005/68/CE du Parlement européen et du Conseil de l’Europe), l’activité de captive est d’assurer ou de réassurer les affaires qui proviennent d’un Groupe qui a constitué la captive.
La captive peut être vue comme un système de conservation. Il en existe deux sortes : les captives d’assurance et celle de réassurance.
Un capital initial doit être investi initialement avec l’accord du Comité d’investissement du groupe pour couvrir seulement les risques propres de la société. Les montants sont de 1,2 million d’euros pour les captives d’assurance et 3,6 millions d’euros pour les captives de réassurance.
Parallèlement aux captives, il existe le système de compartiment captif ou cellule d’une PCC (Protective Cell Company).
Cela consistue une solution idéale pour les sociétés dont les primes seraient trop basses pour la création d’une captive ou qui ne souhaiteraient pas se lancer dans une captive trop rapidement avec des frais opérationnels, de gestion ou de structuration. Un compartiment appartient à une société et est totalement indépendant des autres compartiments.
Les frais de gestion d’une PCC sont plus élevés que pour une captive, car le propriétaire de la PCC a la responsabilité de la consolidation de l’ensemble des compartiments captifs qui la composent (comptes, reporting, solvabilité...). Afin de contrer ce durcissement du marché qui conduit inévitablement à une augmentation des niveaux de rétention et des budgets des entreprises pour le risque cyber, les captives sont une solution fortement envisageable comme outil de financement alternatif.
Un triple objectif
L’objectif de la captive est triple :
– au niveau du financement, la captive réduit le coût du risque, fait bénéficier des profits, accroît son pouvoir sur le marché de l’assurance, accède au marché de la réassurance et augmente la rétention pour augmenter ses capacités ;
– au niveau stratégique, elle contrôle la conception des programmes et la gestion des sinistres, accroît la gestion centralisée des risques et incidents et est utile pour combler les gaps de garanties ;
– au niveau opérationnel, la captive peut augmenter les données et leur analyse au sujet du risque cyber, mettre en place des garanties cohérentes en DIC/DIL ou encore absorber l’émergence de nouvelles exclusions ou de réduction du marché qui ont fait foison depuis fin 2020.
Les avantages potentiels de cette dernière sont uniques comme :
– la capacité à constituer des capitaux et des excédents pour couvrir les pertes ;
– le maintien d’une meilleure protection contre les pertes catastrophiques ;
– la couverture des risques uniques et émergents – comme la pandémie et le cyber – qui peuvent être coûteux en couverture d’assurance.
Une amélioration du contrôle
Une captive aide à gérer les risques, mais la question demeure : comment améliore-t-elle réellement le contrôle des risques ?
– les captives sont créées pour améliorer la capacité d’une entreprise à gérer les retenues et les franchises associées aux programmes traditionnels de transfert des risques ;
– par ce biais, l’entreprise se trouve libérée du contrôle et des restrictions du marché de l’assurance directe ;
– elle peut aider à mettre en évidence l’impact d’un traitement efficace des réclamations et de contrôle des pertes ;
– à long terme, elle permettra que tous les intervenants, quelle que soit la division ou la filiale, soient sur la même longueur d’onde en matière de gestion des risques.
Stratégie de long terme pour améliorer la gestion de risque, une captive peut adapter sa politique, gérer les réclamations et obtenir de la capacité de réassurance pour que le groupe qui s’en dote bénéficie du plus grand choix d’intervenants du marché à un prix concurrentiel, grâce au relèvement des points d’attachement.
L’essor de ces solutions dites d’auto-assurance est ainsi soutenu par le Gouvernement et le Trésor qui ont lancé une réflexion innovante sur différents aspects réglementant ces captives, à savoir notamment sur leur dispositif de provisionnement, sur le traitement fiscal des réserves et, de façon plus générale, sur l’ensemble du cadre réglementaire applicable.
Le devenir des captives « à la française »
Au-delà, cette ambition correspond aussi à une volonté française de s’affirmer comme une « terre d’accueil » pour les captives, dont un nombre important appartenant à des groupes français, restent localisées dans d’autres pays de l’Union européenne à la réglementation plus attractive.
En effet, si l’environnement de marché est propice, nous ne pouvons manquer de nous interroger sur les conditions fiscales qui seront octroyées à ces captives « à la française ».
Si l’ensemble des acteurs s’accordent sur la nécessité pour les entreprises de « se constituer des provisions qui bénéficieront d’un régime fiscal particulièrement avantageux » afin de « mettre de l’argent de côté » (Menou, 2021) en cas de coup dur, la question de la fiscalité, condition de provisionnement, occupe une place déterminante dans la gestion des risques. Il conviendra en effet de trouver un juste équilibre entre gestion des risques et accumulation de réserves en franchise d’impôts pour faire face aux risques systémiques.
Tout le succès de ces captives « à la française » réside dans cet équilibre et pour conclure, reprenons le plaidoyer de François Beaume, vice-président de l’AMRAE : « Il faut donner à la captive française la capacité de convenablement mutualiser les risques dans le temps, sur davantage de branches, avec des plafonds élevés de déductibilité fiscale, pourquoi pas jusqu’à la totalité du risque technique, c’est la clé de son efficacité » (in Menou, 2021).
Bibliographie
• Presse générale
Global Security Mag Online, « Cybersécurité : de la menace à l’opportunité, la cyber-compétitivité priorité des patrons », oct. 2021 : https://www.globalsecuritymag.fr/Cybersecurite-De-la-menace-a-l,20211020,117378.html
Menou Benoît (2021), « Bercy va libérer les captives d’assurance », L’AGEFI : https://www.agefi.fr/banque-assurance/actualites/hebdo/20210527/bercy-va-liberer-captives-d-assurance-321589
Rudden Jennifer (2022), « Cyber insurance Statistics & Facts – Statistiques de l’assurance Cyber aux États-Unis » : https://www.statista.com/topics/2445/Cyber-insurance/
ACPR, « Gouvernance dans Solvabilité 2 » : https://acpr.banque-france.fr/europe-et-international/assurances/reglementation-europeenne/solvabilite-ii/gouvernance-dans-solvabilite-ii
• Presse spécialisée – Assurances
Abadie Aurélie (2021), « Captives de (ré)assurance : le projet reporté à un prochain texte de loi », Argus de l’assurance
Benhamou Eric (2021), « Captives de réassurance : Bercy veut créer un nouveau dispositif fiscal », La Tribune de l’Assurance
Benhamou Eric (2021), « Captives de réassurance : la réforme passera d’abord par la case Bruxelles », La Tribune de l’Assurance
Carrère Marie-Caroline (2021), « Captives d’assurance : Bercy accélère sur le nouveau cadre légal », Argus de l’assurance.
Delambily Florian (2021), « Captives : Le gouvernement rate le coche », NewsAssurancepro
Gouby Thierry (2021), « Ce type d’attaque oblige à prendre de nombreuses précautions », interview de Gilles Bénéplanc, NewsAssurancesPro
Gouby Thierry (2021), « AMRAE : Bientôt une fédération pour les captives françaises », NewsAssurancepro
• Recherches académiques
Héon Sébastien et Parsoire Didier (2017), « La couverture du Cyber Risque », Revue d’économie financière n° 126, pp. 169-182
Trebaul Anaïs (2021), « Captives : vers des conditions plus attractives en France ? », Option Finance
Trebaul Anaïs (2021), « Les captives séduisent les entreprises », Option Finance.
• Rapports
Rapport Hiscox 2020 sur la gestion des cyber-risques
Rapport MARSH : The Changing Face of Cyber Claims 2021
AMRAE (2021), Atout Risk Manager n° 28, 29 et 30
Rapport AMRAE, « État du marché », sept 2021
Rapport AMRAE, « LUCY (LUmière sur la CYberassurance) », 2021.
Rapport AMRAE, « État du marché & perspectives 2022 – Assurances des Entreprises », sept 2021
• Divers
Wavestone (2014), « Le Fronting – Mécanisme d’utilisation optimal d’une captive ou de contournement de l’obligation d’assurance » : https://www.insurancespeaker-wavestone.com/2014/10/fronting-mecanisme-dutilisation-optimale-captives-contournement-lobligation-dassurance/
Marsh, The Definitive Guide to Captive Insurance : https://www.marsh.com/us/services/captive-insurance/insights/the-definitive-guide-to-captive-insurance.html
